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머 리 말 


이 책은 정보보안을 전공하는 박사원생들에게 1년동안 배워 준 강의록을 기초로 하 
여 만들어 졌다. 이 책은 콤퓨터보안에 대한 편람이나 백과전서가 아니며 를퓨터보안의 
력사를 서술한 책도 아니다. 물론 이 책은 콤퓨터보안력사에서 있었던 사건들에 대하여 
언급하고 있으며 보안기술자들이 유익한 착상과 내용을 찾아 볼수 있도록 이 분야의 배 
경과 보충자료들을 제시하고 있다. 그렇지만 이 책은 무엇보다도 콤퓨터보안에 관한 교 
과서인것만큼 콤퓨터과학에 대한 일정한 지식을 가지고 있는 학생들로 하여금 여러가지 
보안제품들이 가지고 있는 기술적특징들을 대비하고 평가할수 있는 능력을 키워 주는것 
을 주되는 목적으로 삼고 있다. 

이 책에서 기술적측면에 집중하려는 결심은 의도적인것이다. 여기서는 일반정보보 
안이 아니라 콤퓨터보안이 주요내용을 이루고 있다. 그러므로 위험분석 이나 보안관리와 
갈은 문제들이 언급되여 있지 않다고 하여 그것들이 콤퓨터보안에서는 중요하지 않은것 
으로 잘못 인식하지 말아야 한다. 그와 반대로 기술적보안문제에 대한 결심은 우의 문 
제들이 적용되는 정황에 대한 참조없이 이루어 질수 없다. 따라서 기술적문제에 대한 
과목들은 콤퓨터보안을 둘러 싸는 비기술적보안문제를 포괄하는 보안관리 에 대한 과목 
들과 나란히 가르쳐야 한다. 기술적문제들만을 가지고서는 체계가 안전하다고 말할수 
없을것이다. 

이 책은 4개의 편으로 구성되여 있다. 첫편은 5개의 장，나머지 3개의 편은 4개의 
장으로 되여 있다. 4개의 편은 다음과 같다. 

제1편. 기 초: 여 기서 는 를퓨터보안의 기 초개 념 들과 콤퓨터 체 계의 중심 에 놓이 면서 
다른 보안기구들의 기초를 이루는 기구들이 제시된다. 

제 2 편. 실천: Unix 와 Windows NT 조작체계의 두가지 경우의 구체적실례를 통하 
여 여기에서 발로된 결함들을 묶어서 제시하며 보안평가에 대한 륜곽을 보 
여 준다. 

제 3 편. 분산체계 : Web 보안을 비롯한 콤퓨터망과 관련된 문제들을 취급한다. 이 러 
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한 환경에서는 암호화가 보안기구들의 기본수단으로 된다. 이 편은《콤퓨 
터보안의 최근동향》이라고도 할수 있을것이다. 

제4편. 리론: 이 편은 자료기지보안을 위주로 구성되여 있다. 여기서 취급하는 
여 러 준위보안에 는 보안문제 들을 엄 밀 하게 검 토할수 있는 리 론들이 개 척 되 
여 있다. 

사실 이 책의 거의 모든 장들은 옹근 하나의 책으로 될수 있는 내용들이지만 여기서 
는 필요한 내용들만을 한개 장의 범위에서 취급하였다. 이 책의 내용은 전반적으로 상당 
히 포괄적 으로 되 여 있으며 인쇄 물이 나 전자매 체 로 된 보충적 인 안내 도서 들을 지 적 하여 
주고 있다. 여기서 쓸모 있는 자료들이 들어 있는 Web 싸이트들을 주고 있는데 그 자료 
들이 다른 싸이트에 옮겨 지지 않았다는 담보는 없으며 따라서 독자가 거기에 접근하려 
고 할 때에는 그 자료가 이미 쓰일수 없게 될수도 있다. 여기서 선택된 싸이트들이 충분 
히 안정하고 독자들에게 실망을 주지 않기를 바란다. 

이 책을 보는데서 다음과 같은 두가지 문제를 주의해 야 한다. 

• 제4장의 《보안모형들〉〉보다 먼저 제3장《접근조종구조》를 주었는데 접근조종을 
위한 방책 들을 언급하지 않고 접 근조종기 구들을 취 급한것 이 다. 그러 나 어 떤 특정한 
방책에 의존하지 않는 구조들을 론하려고 한다. 

• 제12장의 《암호화》보다 먼저 제10장《분산체계보안》을 주었는데 이것은 분산체계 
보안에서 쓰이는 암호화에 대한 기초를 알지 못한 상태에서 분산체계보안을 대하게 
된다는것이다. 그러나 독자들은 암호화알고리듬을 그의 거동만이 추상적으로 묘사된 
《검은통》으로 취급하면서 보안규칙들을 자체 로 해석 하기 위 해 노력 하기 바란다. 

이 책 의 자료들을 강의 에 리 용할 때 다음과 같은 점 들을 고려하여 야 한다. 

• 실천을 목적 으로 하는 강의 에서는 제4장의 보안모형들과 계5장에 있는 특정한 체 계 
들의 기술적상세는 간단히 스치면서 1장부터 14장까지의 자료들을 취급할수 있다. 

• 콤퓨터망보안을 다른 과목에서 따로 취급하는 경우에는 계3편의 자료들은 략하고 제 


4편의 자료들을 취급하기 바란다. 
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• 강의 에서 리론을 중심에 둔다면 사례 연구는 략하고 많은 시 간을 계4편의 자료들을 
취급하는데 돌리기 바란다. 

매개 장에 련습문제들을 주고 있는데 통과암호보안이나 암호화와 같이 련습문제가 
명백한 답을 얻을수 있는 부분을 제외하고는 토론이나 소론문 갈은 형식으로 배운 내용 
을 익히도록 하였다. 

이 책을 통하여 독자들이 현실에서 쓸모 있는 지식을 소유하며 새로운 보안문제들을 
발견해 내기를 바란다. 
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제 1 편. 기 초 


제1장. 일반개념 


이 장의 첫번째 과제는《를퓨터보안의 정의》에 대한 연구이다. 여기서는 외계와 
격리되여 있는 개별적인 보안체계들에 대하여서는 론의하지 않고 보안정보처리체계를 설 
계 하기 위 한 일 반적 인 공학적 원 리 들을 제 안한다. 

목적 

• 기 밀 성 ( Confidentiality ) , 완정 성 ( Integrity ) , 리 용성 ( Availability ) 을 도입 하여 를 
퓨터보안의 정의에 착수한다. 

• 를퓨터보안의 기본난점을 설명한다. 

• 보안체계를 구축할 때 채택하여야 할 몇가지 일반적인 설계결심들을 언급한다. 

• 콤퓨터보안기 구는 물리 적 인 또는 조직 적 인 보호기구들에 의 존하여 야 효과적 이 라는것 
을 지적한다. 


제1절. 정의 

우리의 연구를 학습대상의 정의로부터 시작하자. 콤퓨터보안은 콤퓨터체계내에서 보 
안을 보장하기 위한 기술들을 취급한다. 여 기서 는 를퓨터체 계 (처 리 기와 기 억기 가 들어 
있는 함)와 정보기술 ( IT ) 체계 (를퓨터체계들이 밀접히 결합된 망)를 구별하지 않는다. 
기술은 매우 빨리 발전하고 있다. 현대콤퓨터들은 이미 여러 요소들이 밀접히 결합된 하 
나의 망과 같다. 한때 하나의 응용프로그람이 였 던 쏘프트웨어 들이 조작체 계 의 한부분으 
로 될수도 있다. 이와 갈은 경향을 가진 하나의 명백한 실례로 Web 열람기들을 들수 있 
다. 어떤 기계에서 동작하고 있는 쏘프트웨어는 그 기계에 보관되여 있지 않아도 된다. 
그것은 가까운 국부봉사기로부터 올수도 있고 또는 인터네트상의 어디엔가 있는 Web 봉 
사기로부터 올수도 있다. 그러므로《콤퓨터보안》과 《 IT 보안》이라는 말을 큰 혼란없 
이 같은 뜻으로 사용할수 있다. 

얼핏 보면 《보안》이라는 말은 명백한 개념인것처럼 느껴 진다. 그러나 보안은 그 
에 곡 맞는 의미를 찾으러 할수록 점점 더 애매해 지는 그러한 개념들중의 하나이다. 이 
미 콤퓨터보안에 대한 정의를 만들고 또한 그 정의들을 정정하는데 많은 노력이 돌려 졌 
다. 그러나 이러한 정의들은 거의 모두 포괄범위가 너무 협소하다든가 혹은 콤퓨터보안 
의 범위를 벗어 나 를퓨터과학의 령역에 침입하고 있다는 비난을 받고 있다. 
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1. 보안 

보안이란 대체로 재산의 보호를 말한다. 이 정의는 자기의 재산과 그것의 가치를 알 
고 있어야 한다는것을 암시한다. 이러한 일반적인 고찰은 물론 콤퓨터보안과 포괄적인 
정 보보안전략의 한부분인 위 험 분석 (risk analysis ) 에서 도 역시 옳은것 으로 된다. 그러 나 
이러한 론제는 특별히 보호적인 대책에 초점을 둔 이 책의 범위를 벗어 나는것으로 된다. 
보호대책들을 크게 갈라 보면 다음과 같이 구분된다. 

• 예방 ( Prevention ): 재산이 손상되는것을 막기 위한 대책을 취한다. 

• 검출 ( Detection ): 재산이 손상되였을 때 언제 어떻게 손상되였는가 그리고 누가 손 
상을 입혔는가를 검출할수 있도록 대책을 취한다. 

• 반작용 ( Reaction ): 재산을 회복시키거나 또는 재산을 손상으로부터 재생시키도록 
하는 대책을 취한다. 

이것 을 례 증하기 위하여 자기 집 에 보관한 가치 있는 물건들을 보호하는것 을 생 각 
하자. 

• 예방: 도적이 집에 들어 가기 힘들게 문에 쇠를 채우고 창문빗장을 지르며 재산둘레 
에 벽을 쌓고 중세기적성새와 같이 물홈을 파는 등 보호대책을 취한다. 

• 검출: 어떤 물건을 도적 맞히였을 때 거기에 그것이 없으면 도난 당했다는것을 알것 
이고 침입이 일어 날 때 도난경보가 울리며 유선텔레비죤은 침입자를 식별해 내도록 
하는 정보를 제공해 줄수 있다. 

• 반작용: 경 찰을 부를수도 있고 도난 당한 물건을 다른것 으로 교체 하기 로 결심할수 
있으며 또는 경찰이 도난 당한 물건을 되찾아 돌려 줄수도 있다. 

실세계에서의 이와 갈은 실례들이 콤퓨터보안의 원리들을 설명하는데 도움을 줄수는 
있지만 물리적 인 보안과 콤퓨터보안을 동일시 하는것 이 언제 나 타당한것은 아니 다. 일부 
용어들은 정보기술들에 리용되면 완전히 다른 뜻으로 된다. 콤퓨터보안의 령역에 보다 
알맞는 실례를 보기 위 해 인터네 트상에서 주문을 할 때 신용카드번호의 리용을 고찰해 
보자. 어떤 협잡군이 다른 사람의 신용카드번호를 리용하여 상품구입을 시도할수 있다. 
이때 자신을 보호하기 위해서 어떻게 할수 있겠는가? 

• 예방 : 주문을 할 때 암호를 리용한다. 신용카드주문을 접수하기전에 방문객에 대한 
일련의 검사를 진행하도록 상점에 요구하며 자기의 카드번호를 인터네트에서 리용하 
지 않는다. 

• 검출: 자기가 인정하지 않은 상품거래가 자신의 신용카드상태에 나타난다. 

• 반작용: 새로운 카드번호를 요구할수 있고 협잡상품거래의 값은 카드보관자나 또는 
협잡군이 상품구입을 한 상점 또는 카드발행자가 보상한다. 

이 실례에서 협잡군이 카드번호는《도적질》하였지만 카드자체는 아직 주인에게 있 
다. 이것은 카드자체를 도난 당한 경우와는 다르다. 영국과 갈은 법체제하에서는 협잡군 
이 신용카드번호를 몰래 알아 낸것에 대해서는 법적책임을 씌울수 없게 되여 있다. 결국 
새로운 위협에 대처하기 위해 새로운 법이 채택되여야 한다. 

이러한 조사의 계속으로 비밀정보들을 보호하기 위한 방안들을 생각해 보자. 보통 
비밀은 그것이 로출되는 때에야 루설되였다는것을 알게 될것이다. 일부 경우에는 피해가 
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돌이킬수 없는것일수도 있다. 즉 경쟁자가 다른 사람이 여러해 품들여 개발한 제품설계 
를 손에 넣고 그보다 먼저 제품을 시장에 내놓아 리득을 볼수 있다. 이와 갈은 경우에는 
예방이 유일한 수단이다. 이것은 또한 어째서 력사적으로 콤퓨터보안이 비밀정보의 로출 
을 막는데 많은 주의를 돌려 왔는가를 설명해 준다. 

2. 콤퓨터보안 

콤퓨터보안에 대한 견해를 세우기 위해 우선 정보라는것이 어떻게 손상될수 있는가 
를 고찰해 보자. 대부분의 정의는 다음과 갈은 3가지 측면을 포함한다. 

• 기밀성 ( Confidentiality ): 권한 없는 자에 의한 정보의 로출을 예방. 

• 완정성 ( Integrity ) : 권한 없는 자에 의 한 정보의 변경 을 예 방. 

• 리 용성 ( Availability ) : 권한 없는 자에 의 한 정 보나 자원접 근에 대 한 보류의 예 방. 

이제는 곧 이러한 론제들의 우선권에 대한 론의를 시작할수 있으며 이 항목들을 다 
시 순서화할수 있다. 그리나 이것은 결코 완전한것이 아니며 만일 통신을 념두에 둔다면 
확실성 ( auttienticity ) , 전자상업과 같은 응용프로그람에 관심 이 있다면 책 임추적 가능성 
( accountability ) 과 같은 점들을 추가할수 있 다. 

이러한 일반적인 준위에서조차 일련의 보안측면들에 대한 엄밀한 정의에서의 의견상 
이를 볼수 있다. 그러므로 이 책에서는 흔히 어떤 정의에 대한 참고문헌을 주어 거기에 
서 문맥 이 명 백 해 지 도록 한 다 . 보 안평 가기 준 (제 9장) 에 대 해 서 는 US Trusted 
Computer System Evaluation Criteria (OrangeBook [112 ])，European Information 
Technology Security Evalution Criteria (ITSEC [117]), Canadian Trusted 
Computer Product Evaluation Criteria ( CTCPEC [150]) 와 같은 책들을 참고하기 바란 
다. 실례로 우의 정의들은 ITSEC 로부터 인용한것이다. 

3. 기밀성 

력사적으로 보안과 비밀은 밀접히 련관되여 있다. 현재도 많은 사람들은 콤퓨터보안 
의 기본목적이 중요한 정보를 권한 없는 사용자들이 읽어 내지 못하게 막는것이라고 생 
각하고 있다. 일반적으로 권한 없는 사용자들은 중요한 정보(민감정보)를 알지 못하게 
해야 한다. 기밀성 ( privacy , secrecy ) 은 콤퓨터보안의 이러한 측면을 말한다. 사적비밀 
( privacy ) 과 공적 비밀 ( secrecy ) 이 라는 용어들은 때때 로 개 인적 자료의 보호 ( privacy ) 와 
어 떤 조직 에 속하는 자료의 보호 ( secrecy ) 를 구분하기 위하여 사용된다. 기 밀성 은 잘 
정의된 개념이며 특히 그것이 물리적보안에서는 맞다들리지 않았던 새로운 문제들을 일 
으키 므로 콤퓨터 보안에서 는 자주 이 화제 에 집중하여 연구를 진행한다. 때때 로 보안과 
기밀성은 동의어로 리용되기도 한다. 

종이 문서인 경 우에 는 어 떤 문서 에 로의 접 근을 그 문서 를 읽 도록 허 락된 사람들의 목 
록을 만들어 놓으면 쉽게 통제할수 있다. 얼마간 이상하게 생각하겠지만 콤퓨터보안에서 
는 기밀성을 시행할 때 쓰기조작도 통제해야 한다. 여기에 대해서는 제4장 2절에서 더 
심화된 내용을 볼수 있다. 


9 



4. 완정성 


완정성에 대한 간결한 정의를 주는것은 매우 어려운 일이다. 일반적으로 완정성은 
있어야 하리라고 생각하는것은 다 있다는것을 확신할 때 쓰인다. 이러한 정의는 사실을 
나타내지만 별로 도움이 되지 못한다. 콤퓨터보안의 한계내에서는 완정성을 권한이 없는 
쓰기의 방지를 다루는것으로 정의할수 있다. 이러한 해석에서 완정성과 기밀성은 쌍대적 
인 개념이며 여기서는 이 두가지 목표를 달성하는데 류사한 기술들을 리용할것으로 생각 
할수 있다. 

그러나 더 나아가서 《어떤 일을 하도록 권한을 부여하는것》과《정확한 절차를 따 
르는것》과 갈은 문제들도 역시 완정성 이 라는 용어안에 포함된다. 이 정의는 완정성을 
속성으로 선언한 콜라크와 월슨의 론문 [3 幻에서 인용한것이다. 


완정성 ( Integrity ) : 회 사의 재산이 나 회 계 기록이 잃어 지거 나 손상되는 방법 으로는 
비록 권한이 있다고 해도 체계의 어떤 사용자도 자료항목을 수정하는것을 허락할수 
없다. 


완정성을 권한이 없는 모든 행위를 막는것이라고 한다면 기밀성은 완정성의 한개 부 
분으로 된다. 지금까지 통제해야 할 사용자의 행위를 서술하는것에 의해 보안을 정의하 
였다. 체계적 인 관점으로부터 완정성을 정의할 때 체계의 상태 에 집중하면 더 좋은 결과 
를 얻게 된다.자료완정성 에 대 한《오렌지부크 》 (Orange Book ) 의 정의는 정 확히 다음 
과 갈다. 


자료완정성 : 콤퓨터화된 자료가 원천문서의 자료와 갈고 우연적 이거나 혹은 고의적 
인 변경이나 파피에 로출되지 않을 때 존재하는 상태. 


여기서 완정성은 외면적인 일관성과 같은 말이다. 콤퓨터체계에 보관된 자료는 콤퓨 
터체계밖에서의 일련의 현실성을 정확히 반영하여야 한다. 물론 어떤 콤퓨터체계에 보관 
된 자료가 정확히 현실성을 반영하는것은 매우 중요하지만 그 콤퓨터체계의 내적인 기구 
들에 의 해 이 속성을 담보하는것은 거의 불가능하다. 

더우기 정보보호의 다른 령역들은 완정성에 대한 자기나름의 견해를 가진다. 실례로 
통신보안에서 완정성은《의식적인 속임수와 우연적인 전송오유를 포함하는 전송된 자료 
의 변경，삽입，삭제，반복에 대 한 검출과 정정》을 가리킨다. 

누구에게 도 변경할 권한을 주지 않았을 때 권한이 없는 변경의 특별한 경 우로서 의 
식적인 변경을 고찰할수 있다. 그러나 권한을 부여하는 구조가 있는가 없는가 하는것이 
해결해야 할 문제의 본성과 여러가지 보호기구들에 영향을 미치기때문에 그에 대한 론의 
는 략하기로 한다. 

완정성은 흔히 다른 보호속성들을 위해서 필수적인것이다. 실례로 공격자는 조작체 
계나 또는 조작체계가 참조하는 접근조종표를 수정하여 기밀성조종을 못하게 하려고 시 
도할수 있 다. 따라서 기밀성 을 보장하기 위하여 조작체 계 의 완정 성 또는 접 근조종표의 
완정성을 보호해 야 한다. 

마지막으로 보안과 리용성을 완정성의 부분으로 취급하는 보다 일반적 인 완정성의 
정의들도 있다는것을 지적하여 둔다. 
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5. 리용성 

여기서는 CTCPEC 에서 주어 진 정의를 인용하기로 한다. 


리 용성 ( Availability ) : 제 품의 봉사가 필요할 때 부당한 지 연이 없 이 접 근할수 있는 
속성. 


ISO 八) SI 의 통신보안을 위한 보안구조인 국제 규격 ISC 作 408-2[51] 모 거 의 동일 한 정 
의를 주고 있다. 

| 리용성 : 권한을 가진 실체 에 의한 요구에 따라 접 근할수 있고 리용할수 있는 속성 . | 

리 용성은 콤퓨터보안의 전통적 인 한계 를 넘어서 다른 부분들과 대 단히 많은 관계를 
가지 고 있다. 실례 로 리 용성 을 개선하기 위해 리용된 공학기술들은 장애 허 용계산과 같은 
다른 령역들로부터 취해 진다. 보안에서는 나쁜 마음을 가진 공격자가 정당한 사용자들 
이 자기의 체계에 정당하게 접근하려는것을 막을수 없다는것을 담보하여야 한다. 즉 봉 
사거 절을 방지하여 야 한다. 이 를 위해 ISO -7498-2 의 정의를 참고한다. 


봉사거 절 : 자원에 로의 권한이 부여 된 접 근에 대 한 차단 또는 시 간림 계조작의 
지연. 


최근에 인터네트에서는 공격자가 접속요구들로 봉사기를 압박하여 그것을 손쉽게 
무능하게 만드는 밀물공격 이 라는 사건이 있었다. 많은 경우에 리용성은 콤퓨터보안의 가 
장 중요한 측면이지 만 이 문제를 취급하기 위한 보안기구들은 아직 제 안되지 않았다. 사 
실상 지 나치게 제한적 인 보안기구들은 사용자들자신도 봉사거절 당하게 할수 있다. 

6. 책임추적가능성 

앞에서 를퓨터보안의 전통적 인 3가지 령역을 보았다. 돌이켜 보면 그것들은 모두 접 
근조종의 서로 다른 측면들을 취급하는것 이고 바라지 않는 사건들을 미리 막는데 중점을 
두고 있다는것을 알수 있다. 그러 나 정 당하지 않은 행위들을 다 막는다는것은 거의 불가 
능하다. 우선 권한을 가진 행위들이 보안위 반으로 될수 있다. 다음으로 보안체계에는 공 
격 자들이 침입할 길을 찾을수 있게 하는 약점 이 있다. 그러므로 또 새로운 보안요구가 
나서게 된다. 사용자들은 자기의 행위에 대하여 책임져야 한다. 이 요구는 전자상업거래 
와 같은 분야에서 특별히 중요하며 오렌지부크와 같은 문건들에 이미 정의되여 있다. 


책 임 추적 가능성 ( Accountability ) : 보안을 침 해 하는 행 위 들에 대 해 책 임 있는 부분 
까지 추적할수 있도록 검열정보를 선택적으로 유지하고 보호해야 한다. 


그러기 위하여 체계는 사용자를 식별하고 인증하여야 한다. 또한 보안에 관계되는 사 
건들의 검열궤적을 유지하여야 한다. 만일 보안침해가 일어 나면 검열궤적으로부터의 정 
보는 범죄자와 그가 체계를 손상시키기 위하여 취한 걸음들을 식별해 낼수 있게 한다. 
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7. 믿음성과 안전성 


보안에 대한 론의에서는 우발적인 고장에 관계되는 믿음성과 체계고장이 환경에 주 
는 영향에 관계되는 안전성 (이것들은 체계가 불리한 조건에서도 제대로 동작하여야 하 
는 정황을 취급한다.) 과 같은 콤퓨터분야의 다른 령역들도 언급한다.거기에는 몇가지 
리유가 있다. 첫째 리유는 개념에서의 겹침이다. 보안이 믿음성의 한 측면이기도 하며 
혹은 반대로 믿음성이 보안의 한 측면으로도 된다. IFIP WG 10.4 는 단일화한 개념으로 
의 존성 ( dependability ) 을 받아 들이 고 보안, 믿 음성，완정 성 , 리 용성 을 의 존성 의 측면 
들로 취급함으로써 이 난문제를 해결해 보려 고 시도하였다 [86]. 


의존성 ( Dependability ) : 콤퓨터체계 가 제 공하는 봉사에 대 해 정 당하게 믿음이 가는 
그 콤퓨터체계의 속성. 여기서 체계가 제공하는 봉사라는것은 사용자가 느끼는 그 체 
계의 거동이다. 사용자는 그 체계와 호상작용하는 또 하나의 체계 (실체，인간)이다. 


둘째 리유는 동시에 하나이상의 문제점들을 취급해야 하는 응용들이 있기때문이다. 
실례로 안전성림계응용에서의 콤퓨터체계를 생각해 보자. 때때로 이 체계의 사용자들은 
비상사태에 대처해야 한다. 보안조종은 고의적으로 재난을 일으키는 침입자들을 막아야 
한다. 침입검출체계는 낯선 거동모양을 보고 공격을 식별하려고 시도한다. 그런데 비상 
사태 에 대 한 반작용도 역 시 낯선것 으로 나타날수 있으며 (비 상사태 는 매 우 드문 사건이 
다. ) 그래 서 심 각한 (림 계 )상황에 서 는 침 입 검 출체 계 가 정 당한 작용을 공격 으로 잘못 인 
식 하고 비상사태 처 리 기구의 작용을 방해하는 보안기구를 시동시 킴 으로써 문제를 혼란시 
킬수 있다. 일반적으로 보안문제는 보호하려는 응용의 다른 요구들과 독립적으로 취급하 
지 말아야 한다. 

결국 두 령역에서 다같이 류사한 공학적수법들이 리용된다. 실례로 보안쏘프트웨어 
를 평가하는 기준과 안전림계쏘프트웨어를 평가하는 기준은 많은 류사성을 가진다. 일부 
전문가들은 최종적으로 하나의 기준만이 있어야 한다고 보고 있다. 

8. 콤퓨터보안에 대한 정의 

이 책에서는 콤퓨터보안에 대한 다음의 정의를 채용한다. 


콤퓨터 보안 (Computer Security ) : 콤퓨터 보안은 콤퓨터 체 계 사용자들의 권한 없는 행 
위들에 대 한 방지와 검출을 취급한다. 


이 정의에서는 적절한 권한할당과 접근조종의 개념이 본질적이다. 적절한 권한할당 
은 보안방책 례 하면 어떤 행위들이 허 락되며 어떤 행위 들이 금지 된다는것 을 나타내는 규 
칙들의 모임 (보안방책)이 있다는것을 전제로 한다. 보안방책에서의 령역 ( domain ) 은 그 
방책에 의해서 지배되는 어떤 실체들의 모임 례하면 사용자들，자료객체들，기계들 등의 
모임이다. 보안의 정의에 부당한 행위의 영향을 바로 잡는것도 포함시킬수 있지만 이 측 
면은 중요하지 않다. 
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A 전문용어에 대한 이상의 개념적인 론의들로부터 얻은 기본결론은 

1. 보안의 정의는 하나뿐이 아니다. 

2. 문서를 읽을 때 문서에 언급된것과 보안에 대한 자기의 견해를 혼돈 
하지 않도록 주의해 야 한다. 

3. 보안에 대 해 명백한 해석 을 정의하려 고 시도하는데 많은 시 간이 소비 
되고 있다. 


제2절. 콤퓨터보안의 기본난점 

콤퓨터보안에 의존하는 사용자들의 수가 초기에 기밀자료를 취급하는 몇몇 조직들이 
였던것이 지금은 인터네트에 련결된 모든 사람들로 늘어 난것만큼 콤퓨터보안에 대한 요 
구는 완전히 변화되였다. 이 변화는 다음과 같은 기본난점을 낳게 하였다. 

즉 보안을 모르는 사용자들은 자기나름의 보안요구를 가지고는 있지만 보통 보안에 
대해 잘 모른다. 

이 난점 ( dilemma ) 은 보안평 가를 위한 현재 전략들에서 명백 히 나타난다. 보안평 가 
에서는 제품이 약속된 보안봉사를 계공하는가를 확인해야 한다. 그러자면 보안체계의 기 
능이 규정되여야 하며 보안조종이 효과적이며 침해시도를 견디여 낼것이라는것을 보증해 
야 한다. 

오렌지부크는 보안제품(조작체계)을 평가하기 위한 첫번째 안내서로서 콤퓨터보안의 
발전에 큰 영향을 주었다. 여기서는 기능과 보증이 미리 정의된 클라스들로 한데 묶어 
져 있으며 사용자들은 다만 이 묶음안내로부터 선택만 할수 있다. 아직까지 많은 제작자 
들은 자기 제품의 보안준위를 오렌지부크에서의 해 당한 등급을 주는것으로 지적 하고 있 
다. 그러나 오렌지부크는 신축성이 없으며 를퓨터망이나 자료기지관리체계의 보안을 평 
가하는데 그리 좋은것은 아니다. 

이로부터 보다 유연한 기준모임에 대한 요구가 제기되였으며 ITSEC 에서 이 요구에 
대 답을 주었다. 여기서는 기능과 보증이 매우 특수한 평가목적 ( TOE:targets of 
evaluation ) 도 표현할수 있도록 분리하였다. 보안을 모르는 사용자는 특별한 TOE 의 감 
각을 가지고 서로 다른 TOE 들에 의하여 평가된 제품들을 비교하면 된다. 

콤퓨터보안의 기본난점은 많은 형태로 나타난다. 이것을 해결하는것이 콤퓨터보안에 
서 현재 가장 절박한 문제 이며 그것은 쉬운 일 이 아니 다. 

이 기본난점에 비하면 보안과 사용자편리성사이의 모순관계는 쉽게 해결되는 공학적 
인 이률배반의 문제 이 다. 성능에 대한 보안의 영향은 다양하다. 


• 보안기구는 보충적 인 콤퓨터자원들을 요구한다. 그 비용은 쉽게 계산할수 있다. 
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• 보안은 사용자들의 습관된 작업방식들과 대립된다. 쓰기 불편하거나 적당치 않은 보 
안규칙들은 생산성을 감퇴시 킨다. 

• 노력은 보안을 관리하는데 바쳐져야 한다. 그러므로 보안체계의 구매자들은 흔히 가 
장 좋은 도형사용자대면부를 가진 제품을 선택한다. 

보안에는 응당 적절한 비용이 지출되여야 한다. 보안을 고려하지 않은 비용의 평가 
는 위험분석의 한계내에서이다. 위험분석은 보안관리의 중요한 측면이지만 이 책의 범위 
밖의 것이다. 


제3절. 자료와 정보 

콤퓨터보안은 정보와 자원에 대한 접근을 조종하는것이다. 그러나 정보에 대한 접근 
을 조종하는것은 때때로 매우 어려워 질 때가 있으므로 흔히 보다 수월한 자료에 대한 
접근조종으로 바뀌운다. 자료와 정보사이의 구별은 미묘한것이지만 그것이 보안에서 일 
련의 보다 어려운 문제들의 근원으로 된다. 자료는 정보를 표현한다. 정보는 자료의 (주 
관적인)해석이다. 


자료: 우리의 개념과 실세계의 일정한 측면을 묘사하기 위한 약속에 따라 선택된 물 
리적현상을 자료라고 한다. 자료에 부여한 뜻(의미)을 정보라고 한다. 자료는 정보를 
전송하고 축적 하기 위 해서와 형식적 인 규칙 들에 따라 처 리 하여 새 로운 정 보를 유도해 
내기 위하여 사용된다. 


정보와 대응하는 자료사이에 밀접한 련관이 있을 때 이 두가지의 취급방법은 매우 
류사한 결과를 준다. 하지만 언제나 이렇게 되는것은 아니다. 실례로 잠복통로를 통하여 
정보를 송신할수 있다(제4장 2절) . 이때 자료는 접근요구에 대 한 《 yes 》 나 《 no 》 응답 
이고 수신된 정보는 중요한 파일의 내용이다. 다른 하나의 실례는 통계자료기지에서의 
추론문제 이다(제14장 4절). 

이 문제 를 간단히 보기 위 해 납세 신고서 (Inland Revenue ) 자료기 지 를 고찰하자. 
이 자료기지는 개인기록들에 접근할수 있는 세금검열관들에 의해 리용될뿐아니라 일반적 
인 계획작성의 목적으로 국가공무원들에 의해서도 리용된다. 그러므로 그들은 납세신고 
서 들의 통계 적 개 요들에 접 근하여 야 하지 만 개 인적 기 록들을 읽 을 필 요는 없 다. 

개인적인 기록들을 보호하기 위해 자료기지관리체계가 충분히 큰 자료모임에 대해서 
만 통계적질문을 허 락한다고 가정 하자. 그러면 하나의 기록만 차이 나는 두개의 큰 자료 
모임에 대한 질문으로부터 결과들을 결합하는것 이 가능할것 이 다. 이 리하여 그 자료에 직 
접 접근함이 없이도 하나의 개인적기록에 대한 정보를 추출할수 있다. 
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제 4 절. 콤퓨터보안의 원리 

지금까지 우리는 를퓨터보안이 《로케트과학》과 같은 대 단히 복잡한 문제 라는것을 
보았다. 그러나 놀랄 필요는 없다. 만일 조직적인 방법으로 콤퓨터체계의 보안특징들을 
실현할 기회가 주어 진다면 쏘프트웨어 (체계)개발에 대한 숙련된 방법들과 몇가지 본질 
적인 보안원리들에 대한 상세한 리해가 큰 도움을 줄것이다. 그러나 보안관련의 아무런 
고려도 없이 채택된 설계결심에 의해 이미 복잡하게 된 체계에 때늦게라도 보안을 추가 
하여 야 한다면 문제 는 힘들어 질것 이 다. 유감스럽 게도 대 체 로는 후자의 경 우가 많다. 

이제 콤퓨터보안의 몇가지 근본적인 설계정수들을 제기하겠다. 이 설계결심들은 이 
책에 있는 표현들을 구조화하는 골격을 제공한다. 그림 1-1 은 콤퓨터보안을 위한 설계공 
간의 기본차원을 보여 주고 있다. 수평축은 보안방책 (제1장 4절 1) 이 어디에 초점을 두 
어야 하는가를 나타내며 수직축은 보호기구가 실현되는(제1장 4절 2) 콤퓨터체계의 층을 
나타낸다. 



그림 1-1. 콤퓨터보안의 차원 


1 . 조종의 초점 

제1장 1절 4에서 준 완정성의 정의를 다시 보자. 완정성은 주어 진 규칙묶음에 따라 
야 한다. 규칙들로는 다음과 갈은것들이 있을수 있다. 

• 자료항목들의 형식과 내용에 대 한 규칙(내부일관성): 실례로 어떤 규칙 이 구좌 

( account ) 자료기지에서 잔고 ( balance ) 마당들은 하나의 옹근수를 포함하여야 한 
다고 규정될수 있는데 이와 갈은 규칙들은 그 자료기지항목에 접근하는 사용자나 그 
자료기 지 항목우에 서 수행 되 는 조작들에 의 존하지 않는다. 

• 자료항목우에서 수행될 조작들에 대한 규칙 : 실례로 어떤 규칙이 《구좌열기》,《잔 
고검사》，《꺼내기》，《저금》조작들만이 구좌자료기지에 있는 잔고마당들에 대한 
접근을 가지며 은행사무원들만이 《구좌열기》를 실행할수 있다고 규정될수 있는데 
이와 갈은 규칙들은 사용자와 자료항목에 의존한다. 

• 어떤 자료항목에 대한 접근이 허락된 사용자에 대한 규칙 : 실례로 어떤 규칙을 구좌 
소유자와 은행사무원들만 구좌자료기 지 에 있는 잔고마당들에 접 근할수 있 다는것 으로 
규정할수 있다. 
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여기서 하나의 중요한 일반적관측결과를 얻었으며 첫번째 설계원리에 도달하였다. 


첫번째 설계결심: 주어 진 응용에서 콤퓨터체계에 있는 보호기구들이 무엇에 초점을 
두는가? 자료인가? 조작인가? 사용자인가? 


보안조종을 적용할 때 이러한 선택들이 초보적인 설계결심인것이다. 조작체계들은 
전통적으로 자료(자원들)를 보호하는데 초점을 모아 왔다. 현대응용들에서는 사용자의 
행위를 통제하는것이 보다 더 자주 제기된다. 

2. 사람-기계척도 

그림 1-2 는 를퓨터체계의 간단한 계층모형을 보여 준다. 이 모형은 다만 일반적인 
안내 를 위한것 이 다. 그러 므로 이 모형 이 모든 콤퓨터 체 계 들에 있는 층들을 다 표현하는 
것은 아니며 이 모형에 있는 5개 층보다 더 많은 층으로 구분할수 있는 체계도 있다. 


응용 

봉사 


조작체 계 


OS 핵심부 


하드웨 어 


그림 1-2. IT 체계의 계층들 

• 사용자는 전문적인 응용요구에 꼭 맞게 만들어 진 응용프로그람들을 실행시킨다. 

• 응용프로그람들은 자료기 지 관리 체 계 ( DBMS ) 나 객 체 참조중개 기 (object reference 
broker - ORB ) 와 같은 일 반용쏘프트웨어 제 품에 의 해 제 공된 봉사를 리 용할수 있 다. 

• 이 러한 쏘 프트웨 어제품들은 파일 및 기억관리를 수행하며 인쇄기나 "◦장치들과 같 
은 자원들에 대한 접근을 조종하는 OS (조작체계)상에서 동작한다. 

• 조작체 계 는 처 리 기 와 기 억 기 에 로의 모든 접 근을 조정 하는 핵 심 부를 가질수 있 다. 

• 하드웨 어 즉 처 리 기 와 기 억 기 는 그 콤퓨터 체 계 안에 있는 자료를 물리 적 으로 기 억 하 
고 처리한다. 

보안조종은 이러한 층들중 임의의 층에 자리 잡을수 있다. 지금까지 두번째 근본보 
안원리의 차원들을 설명하였다. 

| 두번째 설계결심: 콤퓨터체계의 어느 층에 보안기구를 배치하겠는가? | 

현재 보급되 고 있는 보안제 품들을 조사하면 하드웨 어층으로부터 응용쏘프트웨 어층에 
이르기까지 이 모형의 매층에서의 보안기구들을 볼수 있다. 설계자의 과제는 매개 보안 
기구에 맞는 층을 찾아 내는것과 또 매개 층에 맞는 보안기구를 찾아 내는것 이 다. 
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이 결심은 콤퓨터보안의 기본난점과 관련된다. 간단하고 일반적인 기구는 특수한 보 
호요구들에 잘 맞지 않으며 반대로 풍부한 보안환경을 리용하려면 사용자들이 보안전문 
가로 되여야 한다. 보안을 모르는 사용자들은 승산이 없는 정황에 놓이게 된다. 

높은 준위 담보을 얻기 위해서 보안체계는 면밀하게 그리고 될수록 철저히 시험되여 
야 한다. 이로부터 복잡성과 담보사이에는 명백한 이률배반의 관계가 있다. 보다 높은 
준위 담보를 얻으러면 체계는 보다 간단해야 한다. 결과적으로 다음과 같은 원리를 알수 
있 다. 

풍부한 보안체계와 높은 준위 담보는 쉽게 맞아 떨어 지지 않는다. 

높은 준위 담보는 체 계 적 인 설 계 원 리 들에 기 초하여 야 한다. 실제에 있어 서 콤퓨터 보 
안은 자기의 가장 높은 담보준위를 얻기 위한 도구로서 형식적인 방법들을 일찌기 적용 
한 령역들중의 하나이다. 

4. 집중 또는 분산조종 

보안방책의 령역내에서는 일관한 조종을 실시하여야 한다. 만일 보안을 책임진 단일 
한 중심적인 실체가 있다면 일관성을 성취하기는 쉽지만 이 중심적인 실체가 성능을 제 
한하는 병목 ( bottleneck ) 으로 될수 있다. 반대로 분산된 경우는 보다 효과적 일수 있지 
만 이때는 서로 다른 여러 요소들이 일관한 방책을 시행하도록 담보하는데 주의를 더 돌 
려 야 한다. 


네 번째 설계결심 : 보안을 정 의 하고 실행하는 과제들이 하나의 중심 적 인 실체 에 주어 
지는가 아니면 한 체계에 있는 개별적인 요소들에 분산되는가? 


분산체계보안에서는 이러한 질문들이 자연적으로 제기되며 두가지 선택방안의 실례 
들을 볼수 있다. 그러나 이 질문은 제 4장 2 절에서 취급하는 벨-라파둘라 ( Bell - 
Lapadula ) 모형 의 위 임 ( mandatory ) 및 자유 ( discretionary ) 보안방책 에 서 보여 주는것 
처럼 대형콤퓨터체계의 상황에서도 역시 의미를 가진다. 


제5절. 보안기구의 아래층 


앞에서 우리는 담보에 대해서는 간단히 보고 주로는 가장 적절한 보안방책들을 표현 
하기 위한 선택 안들을 보았다. 이제부터는 보호기구를 뚫고 들어 오려고 시도하는 공격 
자들에 대해서 보기로 한다. 매 보호기구는 보안경계 (한계)를 정의한다. 보호기구를 손 
상시킴이 없이는 제대로 동작시킬수 없는 체계의 부분들은 이 경계밖에 놓인다. 보호기 
구를 무력하게 하는데 리용될수 있는 체계의 부분들은 이 경계안에 놓는다. 이러한 고찰 
은 계1장 4절 2에서 제 안된 둘째 설계원리 를 직 접 확장할수 있게 한다. 
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《아래층》에로 접근하는 공격자는 계속하여 더 우의 보호기구들을 파괴할수 있다. 
실례로 조작체계의 체계특권을 얻게 되면 보통 봉사층이나 응용층에 있는 보안기구용의 
조종자료를 포함하는 프로그람이 나 파일들을 변경시 킬수 있다. 물리적기 억장치에 로의 직 
접접근에 의해 조작체계의 론리적접근조종을 우회할수 있다. 아래에서는 이 점을 례증하 
기 위한 5가지의 실례 들을 더 주게 된다. 보안기 구들은 일정한 약점 을 가지 고 있으며 아 
래층으로부터 공격 자들에 게 서 공격 받을수 있 다. 그러 나 콤퓨터 보안기 구를 적 용할수 없 
는 단계에 이르렀을 때에도 물리적 또는 조직적인 보안대책을 세울수 있다(그림 1-5). 



그림 1-5. 아래층에로의 접근은 물리적 및 조직적보안대책들을 통하여 조종된다 

회복도구 

만일 기 억기의 론리적조직화가 일부 물리기억기장애 에 인해 파괴되면 물리적표현은 
아직 변하지 않았다고 해도 파일에 더는 접근할수 없다. Norton Utilities 와 같은 회복 
도구들은 (물리적)기억기를 직접 읽고 파일구조를 회복하여 자료를 회복하도록 도울수 
있다. 그러 나 이와 같은 도구들은 론리적기억구조에 주의를 돌리지 않으므로 론리적접근 
조종을 회 피 하는데 리 용될수 있 다. 

Unix 장치 

•政 nix 는 I/O 장치들과 물리적기억장치들을 파일들과 같이 취급한다. 따라서 이러한 
장치들에 대해 파일들에 리용한것과 같은 접근조종기구들이 그대로 적용될수 있다. 만일 
접근허락이 잘못 정의되면 실례로 읽기금지된 파일들을 포함하고 있는 디스크에로 읽기 
접근이 주어 진다면 이때 공격자는 그 디스크내용을 읽고 그 파일들을 다시 구성할수 있 
다. Unix 보안에 대한 보다 상세한 정보는 6장에서 보게 된다. 

객체재리용(기억기의 해방) 

단일처리기다중프로그람체계에서는 몇개의 처리가 동시에 실행될수 있다. 그러나 
어떤 한 순간에는 오직 하나의 처리만이 처리기를 《소유》할수 있다. 조작체계가 현 
재 실행중의 처리를 비능동으로 하고 다음번 처리를 능동으로 할 때마다 상태절환이 
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수행되여야 한다. 다음번에 실행이 계속되도록 하는데 필요한 모든 정보가 보관되여 
야 하며 새로운 처리와 관련되는 정보들이 설정되여야 한다. 보안의 리유로 하여 잔 
류기억 례하면 새 처리에 할당된 기억령역에 남아 있는 자료들을 무효화하여야 한다. 
이것은 해방된 모든 기억위치들에 어떤 고정된 모양을 써넣는 조작에 의해서 또는 이 
미 그것이 씌여 진 위치들에만 새로운 처리의 읽기접근을 허락하는 방법으로 해결할 
수 있다. 

여벌 만들기 

세심한 체계관리자는 정기적으로 여벌만들기를 진행한다. 그 여벌 (Back up ) 레프에 
손을 댈수 있는 사람이면 누구나 그 레프에 있는 모든 자료에 접근할수 있다. 이 경우에 
론리적접근조종은 소용 없으며 여 벌레프는 자료를 보호하기 위해 안전하게 자물쇠를 잠 
그어 보관하여 야 한다. 

기억쏟기 

체계는 붕괴될 때 자기의 내부상태의 기 억쏟기 (core dump ) 를 창조하여 붕괴의 원 
인을 쉽게 식 별할수 있게 한다. 만일 내부상태 가 암호열쇠와 같은 민감한 정보들을 포함 
하고 있다면 그리고 기억쏟기가 누구나 읽을수 있는 파일에 기억되여 있다면 로련한 공 
격 자는 보안을 쉽 게 파괴할수 있을것 이 다. 


이 장의 문헌안내 


콤퓨터보안에 대해서는 많은 책들이 있다. 이 장의 론제에 대해 득 읽어야 할 문 
헌은 [13이이다. [145] 는 콤퓨터보안을 위한 좋은 책이며 보안관리에 대하여 보다 깊 
이 서술하고 있다. [1] 은 콤퓨터보안의 리론적요소들을 취급하고 있다. [56] 에서는 
1980년대에 보안조작체계를 구축하는데서 얻은 가써 ( Gasser , M ) 의 경험을 통하여 안 
전한 조작체 계 를 설 계하는 기 술들에 대 한 완벽한 론의 를 주고 있 다. 콤퓨터 보안에 대 
한 또 하나의 포괄적 인 문헌은 [125] 이며 여 기서 는 많은 가치 있는 참고서들을 지적하 
고 있다. 

제 1장에 대 한 참고서 로는 [163] 이 며 접 근경 로에 대 한 론의 가 특별 히 취 급되 였 다.이 
책은 또한 재정부문들에서 일반적 인 조작체계들의 보안특징들에 대해 흥미 있게 서술하 
였다. 특정한 조작체계들의 보안특징들에 대한 책들은 많지 않으며 또 그러한 체계를 관 
리하는 일 부 사람들에 게 만 관계 되 는 문제 점 들을 취 급하였 으므로 보안을 실현하는 방법 들 
에 대해서는 그리 좋은 책들이 못된다. 그러나 AS /400[12 幻에서는 조작체계에 대한 상 
세한 기 술들을 주며 낮은 층에 있는 코드가 조작체 계 에 의해서 제 공되 는 보안을 어 떻게 
손상시 킬수 있는가를 보여 준다. Unix 보안에 대 한 좋은 책들은 [36,50,55,16幻들이며 
Windows NT 에 대해서는 [63,139, 149] 를 참고할수 있다. 기타 전문적인 문제들에 대 
해서는 해당 장의 끝에 있는 참고문헌에서 찾아 보면 된다. 
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연구령역의 현 상태를 파악하기 위해서는 그의 력사도 알고 있어야 한다. 를퓨터보 
안에서 많은 연구를 촉발시킨 두개의 중요한 론문들은 [156] 과 [2|백다. 이 론문들을 리 
해하려 면 콤퓨터 보안의 초기 력 사를 요약한 [93] 을 보는것 이 좋다. 


련습문제 

1. 보안개 념들을 정의 하기 위한 연구에 대 해서 말해 보시 오. US TESEC 프로그람 ， UK 
ITSEC 계획，카나다의 CTCPEC 의 Web 싸이트들을 참고하시오. 


http : / ■/■ www . radium . ncsc . mil / tpep / process / fag . html 

http : / / www . itsec . gov.uk 

ftp ：// ftp . cse - cst . gc . ca / pub / criteria/CTCPEC 

많은 주요 IT 회사들도 역시 자기들의 Web 싸이트들에 보안에 관한 폐지들을 가지고 
있 다. 

2. 자료와 정보의 차이를 론하는 짧은 소론문을 쓰고 자료에 대 한 접근을 조종하는것 이 
반드시 정보에 대 한 접근을 조종하는것을 암시하는것은 아니 라는것을 보여 주는 실 
례를 찾으시오. 

3. 의 학적 기 록들은 특별 한 보안문제 들을 요구한다. 어 떤 사람의 의 학적 기 록이 직 결 ( on - 
line ) 로 접근될수 있다고 하자. 이 정보는 비밀에 속하며 파괴로부터 보호되여야 한 
다. 한편 비상시에는 그 사람을 치료하는 사람이면 누구든지 그의 기록에 접근할수 
있게 하여야 한다. 그러자면 그는 자기의 기록을 안전하게 하기 위하여 보호, 검출, 
회복을 어떻게 리용하겠는가? 

4. 콤퓨터체계에 보관된 시험결과를 보호하기 위한 보안방책을 이끌어 내시오. 그 방책 
은 적어도 대학생들, 강의자들，관리자들의 접근요구를 고려해야 한다. 

5. 자기가 리용하는 콤퓨터체계에서 보안기구들을 잠재적으로 병합시킬수 있는 쏘프트웨 
어요소들을 구분하시오. 

6. 토론: 홀륭한 도형사용자대면부가 보안제품을 구입하기 위한 적절한 척도인가? 

7. 어떤 층에 있는 보안기구가 그 아래층에 접근한 공격 자에 의해서 우회될수 있는 다른 
실례들을 찾아 보시오. 

8. 개인용콤퓨터 ( PC ) 보안을 해석할 때 적용할수 있는 보안경계들을 구분하시오. 이때 
개 인용콤퓨터 가 있는 방，개 인용콤퓨터，개 인용콤퓨터안에 들어 있는 보안모둘이 보 
안경 계안에 놓인 다고 가정 하시 오. 
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제 2 장. 식별과 인증 


보안체계는 봉사를 요구하는 사용자들의 신원을 추적하여야 한다. 인증이 란 사용자 
의 신원을 확인하는 공정이다. 사용자를 인증하는데는 두가지 원인이 있다. 즉 

• 사용자신원이 접근조종결심에 속하는 하나의 파라메 터 이 다. 

• 사용자신원은 검열자료일지에 보안관련사건들을 기입할 때 기록된다. 

접근조종을 사용자신원에 기초하여 하는것이 항상 필요하거나 좋은것은 아니다. 검 
열기록에 있는 신원을 리용하는것이 훨씬 더 좋은 경우도 있다. 이 장에서는 식별과 인 
증을 현재의 콤퓨터체계들에서 규격화된것으로 본다. 분산체계들에서의 인증은 제10장에 
서 취급한다. 


목적 

• 이미 알려 진 기구들을 다시 보고 몇가지 일반적내용을 학습한다. 

• 통과암호보호에 대한 기초를 엄는다. 

• 보안기구들이 행정적대책에 의거할 때 효과적이라는것을 인식한다. 

• 콤퓨터보안에서 추상화를 리용할 때의 위험성을 리해한다. 


제1절. 사용자이■과 틍과암호 


보통 사용자는 콤퓨터에 등록가입할 때 처음으로 콤퓨터보안과 접촉하게 되며 사용 
자이름과 통과암호를 입력하라는 요청을 받는다. 첫번째 단계를 식별이라고 하며 사용자 
는 자기가 누구인가를 알린다. 두번째 단계를 인증이라고 하며 사용자는 자기가 그 사람 
이라는것을 증명한다. 단어《인증》 ( au 仕 lentication ) 을 다르게 해석하지 않도록 명백히 
다음과 같이 정의한다. 


실체인중: 제기된 신원을 확인하는 공정. 


일단 사용자이름과 통과암호를 입력하면 콤퓨터는 그것을 통과암호파일에 기억된 기 
입 항목들과 비 교한다. 유효한 사용자이 름과 통과암호가 입 력 되 였다면 가입 을 실현한다. 
만일 사용자이름이나 통과암호가 틀리게 입력되였다면 가입은 실패한다. 보통 이때 가입 
화면이 다시 나타나며 사용자는 재 차 가입을 시도할수 있다. 

일부 체계들은 실패한 가입시도회수를 기억하며 일정한 턱값에 도달하면 사용자등록 
자리에 자물쇠를 잠근다. 사용자가 사용하다가 놓아 둔 를퓨터를 공격자가 리용할수 있 
는 기회를 줄이기 위해 작업의 시작뿐아니라 그 작업과정의 일정한 간격마다에서 인증을 
요구할수 있다(반복인증). 

사용자가 콤퓨터를 켜두고 지나치게 오랜 시간동안 놀고 있으면 자동적으로 화면을 
잠그거 나 또는 작업을 끝내도록 할수 있다. 
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통과암호보호에서는 사용자가 중요한 역할을 한다는것을 잊지 말아야 한다. 자기의 
통과암호를 친구에게 루설하거나 노트에 씀으로써 다른 사람에게 알려 질수 있다. 


제2절. 통과암호의 선택 

통과암호의 선택은 중요한 보안문제 이다. 공격자가 우연히 유효한 통과암호를 추측 
하는것을 완전히 막을수는 없으므로 이러한 가능성을 될수록 낮추기 위해 노력해야 한다. 
그러자면 공격자들이 기본적으로 다음과 갈은 두가지 추측전략에 의거한다는것을 알아야 
한다. 

• 완전탐색: 어떤 일정한 길이까지의 유효한 기호들의 가능한 조합을 모두 시도해 
본다. 

• 지능적탐색: 제한된 이름공간을 통하여 람색한다. 실례로 사용자이름，친구들이나 
일가친척들의 이름，자동차상표，자동차등록번호，전화번호 등 사용자와 관계되는 
통과암호나 또는 일반적으로 공통적인 통과암호를 알아 내려고 시도한다. 두번째 방 
법의 전형적실례는 직결사전으로부터 모든 통과암호를 알아 내려고 하는 사전공격 
(dictionary attack ) 이 다 . 


반복인증은 름퓨터 보안에서 TOCTTOU(time of check to time of use - 검 
사시간 대 리용시간)로 알려 져 있는 문제를 취급한다.조작체계는 대화가 시 
작될 때 사용자신원을 검사할뿐아니라 좀 더 지나 대화기간사이에도 접근조 
종결심을 하기 위하여 신원을 리용한다. 


이전에 사용자는 친절한 환영통보문과 접근하려는 체계에 대한 일련의 정보를 포함 
하는 화면에 사용자이름과 통과암호를 넣어야 하였다. 그러나 오늘 조심성 있는 체계관 
리자는 지내 많은 정보를 제시하지 않으며 환영통보문을 권한이 없는 사용자에 대한 경 
고로 교체하였다. 실례로 Windows NT 는 법률적주의 (legal notice ) 를 나타내는 선택을 
제시한다. 사용자들은 가입하기전에 이 경고통보문에 응답하여야 한다. 

오늘날 대부분의 콤퓨터체계는 첫번째 방어선으로서 사용자이름과 통과암호를 리용 
한 식별과 인증기구를 사용한다. 이 기구는 사용자들이 콤퓨터에서 작업을 시작하는 루 
린의 완전한 한개 부분으로 되였다. 이와 같은 기구는 널리 리용되며 또 실현하기 그다 
지 어렵지 않다. 한편 유용한 통과암호를 엄는것은 를퓨터체계에 대한 권한이 없는 접근 
을 하기 위한 공통적 인 수법 이 다. 

인증기구로서의 통과암호의 실제적보안을 검토해 보자. 다음과 같은 세가지 위협들 
이 존재한다. 


상 

손 

측 만 J . 
추기？ 
의의 파 

호 호 호 
암 ■ OT.P 암 
과과 과 
통 통 통 
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그러면 어떻게 방어하겠는가? 

• 통과암호의 설정 : 체계관리 자 또는 사용자가 사용자등록자리 (account) 를 위 한 통 
과암호를 설 정하는것 을 잊 었 다면 공격 자는 통과암호를 추측하는 수고조차 당하지 
않게 된다. 

• 기정통과암호의 변경 : 체계들은 주어 질 때 흔히 《manager》 (관리자)라는 기정통과 
암호와 《system》 (체계)과 같은 기정등록자리를 가지고 있다. 이것은 현장기사의 체 
계설치를 돕는다. 그러나 그 통과암호를 변경시키지 않은채로 두면 공격자가 그 체계 
에로 쉽게 뚫고 들어 올수 있으므로 기정통과암호를 변경시켜야 한다. 이렇게 하였다 
해도 공격 자는 특별히 특권을 준 등록자리 에 대 한 접근을 할수 있다. 

• 통과암호길 이 : 완전탐색 을 좌절시 키 기 위하여 최 소한의 통과암호길 이 를 미 리 규 
정 하여 야 한다. Unix 체 계 들은 최 대 통과암호길 이 를 가지 며 8개 문자까지 설정할 
수 있다. 

• 통과암호형식 : 통과암호에 대문자，소문자기호들을 섞 어 쓰며 자모가 아닌 기 호들과 
수자들을 포함한다. 

• 명백한 통과암호를 피하기: 공격자들은 널리 쓰이는 통과암호들의 목록을 가지고 있 
으며 사전공격은《명백한》람색범위를 충분히 확장하였다는것을 알아야 한다. 오늘 
날 거의 모든 언어들에 대한 직결사전 (on-line dictionary) 을 찾아 볼수 있다. 

그러면 체계는 어떻게 통과암호보안의 개선을 도울수 있는가? 

• 통과암호검사기 : 체계관리자는 일부《약한》통과암호사전들에 대하여 통과암호들 
을 검사하는 도구를 리용할수 있다. 이것은 체계에 대한 사전공격을 모방해서 미리 
막을수 있게 한다. 

• 통과암호생성기: 일부 조작체계들은 우연적이지만 발음할수 있는 통과암호들을 만 
들어 내는 통과암호생성기를 포함하고 있다. 이때는 사용자들이 자기의 고유한 통 
과암호를 선택하는것은 허락되지 않으며 체계에 의해서 제안된 통과암호를 리용해 
야 한다. 

• 통과암호의 로화 : 대 부분의 체 계 들에 서 는 통과암호의 만기날자를 설정할수 있 으며 
규칙적인 간격으로 통과암호를 변경할것을 사용자에게 요구한다. 또한 사용자들이 
이 전의 통과암호를 다시 사용하는것 을 막는 추가적 인 기 구들로서 례하면 이 미 리 용 
된 과거의 10개 통과암호목록 등이 있다. 물론 낡은 통과암호에 대해 충분한 회수의 
변경을 함으로써 사용자들은 자기가 좋아 하는 통과암호를 다시 쓸수도 있다. 

• 가입시도의 제한: 체계는 실패한 가입시도회수를 감시하고 사용자등록자리를 완전히 
잠그거 나 또는 적 어도 일정한 시 간동안 가입시도를 막거 나 정지시 킬수 있다. 

• 사용자에게 통지: 사용자가 가입에 성공하면 체계는 이전의 마지막 가입시간과 그때 
부터 실패한 가입시도의 회수를 화면에 현시하여 사용자에게 최근에 시도된 공격에 
대 하여 통지할수 있 다. 

이와 같이 체계 가 생성하는 대，소문자들과 수자기 호들이 혼합되 여 있고 정기적으 
로 변화되는 긴 통과암호를 리용하였다고 하여 가장 높은 수준의 보안이 실현되는것은 
아니 다. 

사용자들은 길고 복잡한 통과암호들을 기억할수 없다. 대신에 이러한 통과암호를 종 
이 에 쓰게 되는데 그것을 통과암호를 노리는 침입자가 볼수 있다. 콤퓨터말단들에서 전 
송되 는 표기 들에 서 통과암호를 찾아 내 는것 은 보안관리자들의 기 본과제 이 다. 통과암호들 
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이 자주 변화될 때에도 역시 마찬가지이다. 이와 같이 통과암호관리도식의 엄격한 요구 
를 따르기는 어렵다. 이것을 아는 사용자들은 보다 쉽게 기억할수 있는 통과암호를 리용 
하려고 할수 있는데 그것은 오히려 공격자들에게 쉽게 추측될수 있다. 또한 자기가 좋아 
하는 통과암호에로 빨리 되돌아 오거나 또는 통과암호에 간단하고 의미 있는 변화를 가 
하는것으로 대 치하려고 할수 있다. 만일 매달 통과암호를 바꾸어야 한다면 선택한 통과 
암호에 달 (1 월부터 12월 까지 의 두자리 수자 또는 JAN 부터 DEC 까지 의 3개 문자중에 서 
선택한다.)을 추가하여 기 억하기 쉬운 통과암호를 만들수 있다.이때 이 통과암호들중의 
하나를 발견한 공격자는 다음것을 쉽게 예측할수 있다. 

여기에 고려해야 할 또 하나의 측면이 있다. 사용자들이 모든 보안규정을 매우 엄격 
하게 지키며 쉽게 추측할수 있는 통과암호들은 피하고 통과암호를 노트에 기록하지 않았 
는데 후에 그것을 잊었다고 가정하자. 이것은 사용자의 사업을 혼란시킨다. 또 사용자는 
새 로운 통과암호를 얻 기 위해 체 계 관리 자와 접촉하여 야 하는데 이것 은 체 계관리 자의 사 
업 을 혼란시 키 며 새 로운 공격의 길을 열 어 주는것 으로 된다. 사용자와 체 계관리 자가 직 
접 만날수 없 다면 전화를 통하여 새 로운 통과암호를 합의할수 있 다. 이 때 체 계 관리 자가 
사용자에 게 적 절 한 권한을 부여할수 있 겠는가? 

조작자를 협박하여 통과암호를 내놓게 하는것은 체계에로 침입하기 위하여 이미 시 
도되고 시험된 방법이다. 성공적인 공격들은 흔히 기술적묘술보다 사회적수법에 기초하 
고 있다. 

A 보안기구들을 고립적으로 고찰하지 말아야 한다. 하나의 보안기구에 지나치 
게 많은 강조를 두면 사용자들이 자기 일을 하기 위해 보안을 피하므로 오 
히려 체계를 약화시킬수 있다. 통과암호와 함께 통과암호의 복잡성과 인간 
의 기억능력사이의 이률배반관계를 고찰하여야 한다. 


제3절. 기만공격 

사용자이름과 통과암호를 통한 식별과 인증은 일방적인 인증이다. 사용자는 통과암 
호를 대고 를퓨터는 사용자의 신원을 확인한다. 그러나 사용자는 이 통과암호를 누가 받 
았는지 모른다. 선로의 다른쪽 끝부분 즉 상대방의 신원에 대하여 보증할수 없다. 

이것은 실제의 문제로서 통과암호손상의 두번째 부류이다. 기만공격에서는 공격자가 
일부 말단/워크스테이션에 가짜가입화면을 제시하는 프로그람을 실행시킨다. 이것을 의 
심하지 않는 사용자는 이 말단에 가입하려고 시도한다. 기만프로그람은 사용자를 정상가 
입 차림 표에서 처 럼 유인하여 사용자이 름과 통과암호를 넣도록 요구한다. 입 력된 사용자이 
름과 통과암호는 공격자에 의해 기억된다. 다음에 실행은 사용자에게로 넘어 가거나 가 
입이 (거짓)오유통보문으로 취소되며 기만프로그람은 끝난다. 조종은 조작체계에로 되돌 
아 가고 이때 사용자에게 진짜가입요구가 재촉된다. 사용자는 이 두번째 가입요구에 따 
라서 또다시 가입을 시도하며 통과암호가 루설되였다는것을 전혀 모르고 지 나갈수 있다. 

이와 갈은 기만공격에 대처하여 어떻게 할수 있는가? 

• 실패한 가입회수를 현시하여 사용자에게 이와 갈은 공격이 있었다는것을 알려 줄수 
있다. 만일 첫번째 가입에서 실패 하였고 두번째 시도에서 가입 하였는데 지 난번 작업 
이후 실패한 가입시도가 없었다고 통지되면 의심스럽게 보아야 한다. 
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• 신용 받는 경로 : 사용자가 기만프로그람이 아니 라 조작체계와 통신하였다는것을 보 
증한다. 실례로 Windows NT 는 조작체계가입화면을 불러 내는 안전안전주의조작 
렬 《 CTRL + ALT + DEL 》 을 가진 다. 사용자는 작업 을 시 작할 때 가입 화면 이 이 미 
나와 있다 해도 이 주의신호건을 눌러야 한다. 

• 상호인증 : 만일 사용자들이 자기들이 통신하고 있는 체계의 신원에 대 한 엄격 한 보 
증을 요구한다면(실례 로 분산체 계 에서) 체계는 자신을 사용자에 게 인증하여 야 한다. 

기만공격외에도 침입자는 통과암호를 찾아 내는 다른 수법들을 쓸수 있다. 여기서 
한 등록가입의 서술은 매우 추상화되였다. 통과암호는 사용자로부터 직접 통과암호검 
사투린에 로 넘 어 간다. 그러 나 실제 로 그것은 도중에 완충기 나 완충기억기 지 어는 
Web 폐지와 같은 중간기억기들에 림시로 기억되게 된다. 이 기억위치들의 관리는 보통 
사용자의 조종밖에 있으며 통과암호는 사용자가 예상하였던것보다 더 오래 머무를수 
있 다. 

이 문제는 Web 기초직결은행봉사(참고문헌 [5]) 의 개발자들이 부닥쳤던 문제에서 잘 
보여 준다. Web 열 람기들은 사용자가 최근에 방문한 페지들을 다시 볼수 있게 하는 정 
보를 보관한다. 사용자는 직결은행봉사를 리용하기 위하여 Web 페지에 자기의 통과암호 
를 입 력한다. 사용자는 자기의 사무를 마치고 은행응용프로그람은 닫았으나 열 람기대화 
는 끝내지 않았다고 하자. 이때 말단에 있던 다른 사용자가 앞사람의 통과암호를 가지고 
그 페 지 를 다시 볼수 있 으며 그의 자격 으로써 가입할수 있 다. 

'이에 대한 예방책으로서는 은행거래후에 반드시 열람기를 닫는것이다. 이때는 사용 
자들이 기 억관리 활동에 관여할것 이 요구된다. 이것은 객체재 리용의 다른 하나의 실례 이 
다(제1장 5절). 

A 추상화는 쓸모 있는 동시 에 위 험하다. 추상화용어 로 통과암호보안을 론의 
ᆻ 하는것은 편리하다. 통과암호가 IT 체 계 에서 어떻게 처 리는가를 알지 못하 
고 통과암호형식에 대한 방책이나 로화를 조사할수 있다. 그러나 이러한 
추상화준위 에서만 통과암호보안을 론의하는것은 위험하다. 실현약점 은 최 
상의 보안방략을 손상시 킬수 있다. 


제4절. 틍과암호파일의 보호 


체계는 사용자의 신원을 확인하기 위하여 사용자가 입력한 통과암호를 통과암호파일 
에 기억된 값과 비교한다. 물론 이러한 통과암호파일은 공격자들의 목표이다. 통과암호 
파일의 내용을 암호화하지 않은채로 두거나 통과암호파일의 내용을 변경시키는것은 통과 
암호손상의 세번째 가능성을 초래한다. 지어는 암호화된 통과암호가 폭로되는데 대해서 
까지 근심할수 있다. 이때 사전공격은 비직결로 진행될수도 있는데 이때는 실패한 가입 
시도회수를 제한하는것과 갈은 보호기구들은 쓸수 없게 된다. 통과암호파일을 보호하기 
위해 다음과 갈은 선택을 가진다. 

• 암호학적인 보호. 

• 조작체계에 의해서 시행되는 접근조종. 
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• 암호학적인 보호와 접근조종 그리고 사전공격을 감되시키기 위한 기타 개선된 방법 

들의 조합. 

암호학적인 보호에 서 는 암호화알고리 듬조차 필요 없다. 한방향함수 (one-way 
function) 가 그 일감을 수행하게 된다. 이제부터 다음의 정의를 리용한다. 

한방향함수란 함수값을 계산하는것은 비교적 쉽지만 거꾸로 계산하는것은 매우 어려 
운 함수이 다. 즉 ; c 가 주어 지 면 / Oc ) 를 계 산하기 는 쉽 지 만 반대 로 / Oc ) 가 주어 질 때 乂를 
계산하는것은 어렵 다. 

제12장에서 한방향함수에 대해 상세히 취급한다. 한방향함수들은 기억된 통과암호를 
보호하는데 리용되 였다 [158]. 통과암호 ; c 대 신에 함수값/(功가 통과암호파일 에 기 억된다. 
사용자가 가입할 때 통과암호 ; c ’를 입 력하면 체 계는 한방향함수 /를 적 용하여 /次’)를 구 
하고 예 측값 /(功와 비 교한다. 이 두 값이 일 치하면 사용자는 성 공적 으로 가입하게 된 다. 
앞으로 우리는 통과암호에 한방향함수를 적용하고 있는 경우에 《암호화된》통과암호에 
속하는것으로 본다. 

사전공격 의 우려 가 없 다면 통과암호파일 을 전체읽 기 가능으로 할수 있 다. p \ 적 당한 
한방향함수라면 / Oc ) 로부터 통과암호 ； c 를 재구성하는것은 불가능하다. 사전공격에서는 공 
격자가 사전에 있는 모든 단어들을《암호화》하고 그 결과를 통과암호파일에 있는 암호 
화된 항목들과 비 교한다. 일 치하는것 이 있 으면 공격 자는 사용자의 통과암호를 알게 된 다. 
한방향함수를 사전공격 을 지 연시키 는데 리용할수 있다. Unix 체 계 에서 는 한방향함수 
crypt (3) 을 사용한다. 이것은 시작값으로는 모두 령인 블로크를，열쇠로는 통과암호를 
리용하여 약간 수정 된 DES 알고리 듬을 25 번 반복한다 [104]. 물론 가입할 때 합법 적 인 
사용자들에 대해서는 약간한 성능저하가 있으나 한방향함수를 속도에 대하여 최량화한다 
면 사전공격의 성능도 동시에 개선하는것으로 된다. 

조작체계에 있는 접근조종기구들은 파일과 기타 자원들에 대한 접근을 적절한 특권을 
가지는 사용자들로 제한한다. 즉 특권이 부여된 사용자들만이 통과암호파일에 대한 쓰기 
접 근을 할수 있 다. 통과암호가 암호학적방법 에 의 해 보호된것 이 라 해 도 공격 자는 그것 을 
변경시킴으로써 쉽게 다른 사용자들의 자료에 접근할수 있다. 특권이 있는 사용자들만으 
로 읽기접근을 제한하면 리론적으로는 통과암호들을 암호화하지 않고 기억할수 있다. 통 
과암호파일이 권한 없는 사용자에게도 요구되는 정보를 포함하고 있다면 통과암호를 암호 
화하여야 한다. 그러나 이러한 파일은 사전공격들에서 아직 리용될수 있다. 대표적인 실 
례 로 Unix 에서 / etc / passwd 를 들수 있다. Unix 의 최 신판들은 공격 으로는 공개적 으로 접 
근할수 없는 파일에 암호화된 통과암호들을 기억한다. 이런 파일들을 그림자통과암호파일 
이라고 한다. 실례로 HP-UX 는 그림자통과암호파일/. secure / etc / passwd 를 리용한다. 

읽기보호의 약한 형식은 전용 (proprietary) 기억형식이다. 실례로 Windows NT 는 
전용2진형식으로 암호화된 통과암호들을 기억한다. 공격자는 보안관련자료의 위치를 검 
출하는데 필요한 정 보를 추측해 낼수 있다. 《애매성 에 의한 보안》은 그자체 로서 는 그 
다지 강하지 않으나 그것을 통과암호의 암호화와 같은 다른 기구들에 추가할수 있다. 

그러나 이와 같은 방어를 성공적으로 돌파하면 모든 부분을 파피시킬수 있다는 위험이 
있다. 1997 년 초에 Windows NT 의 통과암호보안이 파괴되 였다는 소동이 일어 났다. 문제 
는 매우 심각하였다. 소동의 동기로 된것은 암호화된 통과암호들을 2진과일로부터 보다 읽 
기 쉬운 표현으로 변환하는 프로그람이 발표된것이였다. 소동의 후에 큰 일은 없었다. 

만일 사전공격이 우려되는데 통과암호파일을 감출수 없다면 통과암호절임 
(salting) 을 적용할수 있다. 통과암호를 기억시키기 위해 암호화할 때 추가적 인 정보 
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(소금)를 암호화하기전의 통과암호에 첨가한다. 소금정보는 암호화된 통과암호와 함께 
기억된다. 만일 두 사용자가 같은 통과암호를 가지고 있다고 해도 그것들은 암호화된 통 
과암호파일에서 서로 다르게 기입되게 된다. 결국 절임은 여러 사용자들의 통과암호를 
일제히 람색할수 없게 함으로써 사전공격을 지연시킨다. 


A 


이 상에 서 3가지 보안설계 문제 들을 보았다. 

• 기구들의 조합은 보호를 개선할수 있다. 암호화와 접근조종은 통과암호과 
일들을 보호하는데 리용된다. 

• 애매성 에 의한 보안은 우연한 침입 자만을 막는다. 이 전략에 큰 기대를 걸 
지 않는것이 좋다. 

• 보안관련자료는 공개 적 으로 리용하여 야 할 자료와 분리시키 는것 이 좋다. 
Unix 에 서 / etc/passwd 는 2 가지 자료형 을 다 포함한다. 그림 자통과암호 
파일은 요구되는 분리를 보장한다. 


제5절. 단번서명 

통과암호는 수백년동안 적 아를 구분하는데 리용되 였다. IT 환경 에서 는 통과암호가 
콤퓨터, 콤퓨터망, 프로그람，파일 등에 대한 접근을 조종한다. 사용자가 어떤 정보를 
얻 기 위 해 싸이 버 ( cyber ) 공간을 항행 할 때 통과암호를 반복하여 입 력 해 야 한다면 그것 
이 별로 편리하다고 생각하지 않을것이다. 자기의 워크스테이션에 앉아서 콤퓨터망에 있 
는 봉사기의 자료기지로부터 어떤 정보를 요구할 때 다음과 같이 해야 한다면 좋겠는가? 

• 워크스테이션에서 첫번째 통과암호를 입력한다. 

• 콤퓨터망에 들어 가기 위해 두번째 통과암호를 입력한다. 

• 봉사기에 접근하기 위해 세번째 통과암호를 입력한다. 

• 자료기지관리체계에 접근하기 위해 네번째 통과암호를 입력한다. 

• 자료기지에 있는 표를 열기 위해 다섯번째 통과암호를 입력한다. 

다섯개의 서로 다른 통과암호들을 잠재적으로 기 억 하고 매 경우에 적 당한 하나를 선 
택 해 야 하는데 그것 을 잊 고 갈은 통과암호를 5번 반복입 력하는것 은 매 우 나른 결 과를 초 
래 한다. 

단번서 명 봉사는 이 문제 를 해 결 한다. 사용자가 자기 의 통과암호를 한번 입 력하면 체 
계는 이 통과암호를 기억하고 사용자를 다시 인증해야 할 때마다 그를 대신해서 그 일을 
하게 된다. 

이러한 단번서명봉사는 사용자에게 편리하지만 새로운 보안문제를 만든다. 기억된 
통과암호를 어떻게 보호하겠는가? 지금은 체계가 평문(암호화되지 않은 문)으로 통과암 
호를 요구하기때문에 앞에서 본 일부 기술들을 쓸수 없다. 

A 체계설계가들은 편리성과 보안의 균형을 조절해야 한다. 리용상 편리성은 IT 

체계를 실제로 쓸모 있게 만드는데서 중요한 인자이다. 그런데 이렇게 하면 
공격 받기 쉽게 된다. 
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제 6 절. 그밖의 방법들 


만일 통과암호에 의한 보안으로 만족되지 않는다면 무엇을 더 할수 있겠는가? 일반 
적견해로부터 다음과 갈은것들을 선택할수 있다. 사용자는 다음과 갈은것들에 기초하여 
인증을 받을수 있다. 

• 사용자가 알고 있는것 . 

• 사용자가 가지고 있는것 . 

• 사용자가 누구인가? 

• 사용자가 무엇을 하는가? 

• 사용자가 어디에 있는가? 

사용자가 알고 있는것 

사용자가 인증을 받기 위해서는 몇가지 《비밀》을 알고 있어야 한다. 앞에서 이러 
한 인증방식의 첫번째 실례를 보았다. 통과암호가 바로《사용자가 알고 있는것》이다. 
다른 하나의 실례는 은행카드나 기타 류사한 통표들에서 리용되는 개인식별번호 ( PIN ) 이 
다. 세 번째 실례 로 사용자가 자기의 은행구좌에 대 하여 전화로 문의할 때의 상황을 고려 
해 보자. 사용자의 호출을 취급하는 은행사무원은 어떤 정보를 알려 주기전에 사용자에 
게 집주소，생일，처의 이름과 갈은 개인정보들을 요구할수 있다. 

이와 같은 인증방식에서는 사용자의 비밀자료를 얻는 사람은 바로《사용자자신이 
다》. 한편 사용자가 자기의 비밀을 다른 사람에게 넘겨 준다 해도 흔적이 남지 않는다. 
다음의 경 우를 생 각해 보자. 당신 이 속한 조직안에 서 누군가가 당신의 사용자이 름과 통 
과암호로 가입하여 콤퓨터 를 악용한 경 우에 당신은 자신의 청 백함을 증명할수 있는가? 
당신은 자기 의 통과암호를 루설 하지 않았다는것 을 증명할수 있는가? 

사용자가 가지고 있는것 

사용자는 인증을 받기 위해 물리 적 통표를 제 출하여 야 한다. 즉 자물쇠 를 여 는 열쇠 
는 사용자가 가지 고 있 다. 회 사의 재 산에 대 한 접 근을 통제하는데 리 용되 는 카드나 신분 
증은 통표의 다른 실례 들이 다. 앞으로 지 능카드읽 기장치 가 워 크스테 이 션들의 표준장비 로 
된다면 지능카드가 통과암호를 대신하게 될것 이 다. 

물리적통표는 잃어 버리거 나 도적 맞힐수 있다. 이전에는 통표를 소유한 사람은 누 
구나 합법 적 소유자로서 의 동등한 권한을 가지 였 다. 보안성 을 높이 기 위해 물리 적 통표는 
흔히 사용자가 알고 있는것 (례 로 은행 카드에서 p IN ) 과 배 합하여 리 용하였거 나 또는 통 
표에 합법적사용자를 확인하는 정보 ( 례로 은행카드에 있는 사진)를 포함시켰다. 그러나 
이와 같은것으로써는 사기군들이 합법적사용자로 가장하기 위하여 필요한 정보들을 엄는 
것 을 막을수 없으며 또 사용자가 그러한 정 보를 본의 아니 게 넘 겨 주는것 을 막을수 없 다. 

사용자가 누구인가 

실제로 사람들을 개별적으로 인증하여야 한다면 생체공학적수법을 사용할수 있다. 
사진카드는 이미 언급하였다. 보다 정밀한 방법들에서는 손바닥지문, 손가락지문, 홍채 
모양，망막모양 등을 사람을 인식하는데 리 용한다. 
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통과암호에 의한 인증은 매개 인증시도를 명백히 거부하거나 접수한다. 생체공학적 
수법에서는 실제 측정한 모양을 기억된 모양과 비교하는데 이것을 엄밀하게 맞추기는 쉽 
지 않다. 이로부터 틀린긍정과 틀린부정이라는 새로운 문제에 직면하게 된다. 틀린 사용 
자를 접수하는것(틀린긍정)은 명백히 보안문제이다. 합법적사용자를 거부하는것(틀린부 
정)은 혼란과 비능률적 인 작업환경을 조성 한다. 또 다른 문제들도 있다. 사용자들이 이 
러한 기구들을 받아 들이겠는가? 그들은 자기의 손가락지문이 채취된다면 자기들이 범죄 
자처 럼 취급된다고 느질수 있다. 또한 자기들의 망막을 주사하는 레 이자빛을 좋아 하지 
않을수 있다. 

사용자가 무엇을 하는가 

흔히 사람들은 어떤 개인에게 특징적인 방식으로 어떤 기계적인 과제를 반복한다. 
손으로 쓴 수표를 검사하는것은 한가지 실례이다. 여기서 위조는 그리 어렵지 않다. 보 
안성을 높이기 위해 사용자는 쓰기속도나 쓰기 압력과 같은 속성들을 측정하는 특수한 받 
치개 우에서 수표할수 있다. 건반에서는 건누름속도와 건누름간격 이 개별적사용자들을 인 
증하는데 리용되고 있다. 이처럼 인증체계는 목적하는 응용에서 접수할수 있는 정도로 
틀린긍정과 틀린부정을 줄이도록 설치되여야 한다. 

사용자가 어디에 있는가 

체계는 사용자가 가입할 때 그가 어디에 있는가를 등록자리에 받아 들일수 있다. 일 
부 조작체계들은 사용자가 정해 진 말단에서 가입할 때에만 접근을 허락한다. 실례로 체 
계관리 자는 오직 조작탁에서만 가입 할수 있고 다른 사용자말단에서는 가입 할수 없다. 류 
사하게 사용자는 자기 사무실에 있는 워크스테 이션에서만 가입할수 있다. 이 류형의 인 
증은 이동식 및 분산콤퓨터환경에서 적합하다. 만일 인증에 정확한 기하학적위치를 리용 
해 야 한다면 전지 구위 치결정 체계 ( GPS ) 의 봉사를 리 용할수 있다. 가입 요구가 제 기될 때 
사용자의 위치를 확인하는것은 후에 그 사용자의 신원을 보증하는데 도움이 될수 있다. 

A 통과암호는 개 인을 인증하지 못한다. 인증에 통과했다는것은 다만 사용자가 
특수한 비밀을 알고 있다는것을 암시할뿐이다. 정당한 사용자와 그 사용자의 
통과암호를 얻 어 쥔 침 입 자를 구별할수 없다. 

이 장의 문헌안내 

Unix 통과암호보안에 대해서는 [104] 을 참조하시오. 여기서 대표적인 통과암호선택 
에 대한 흥미 있는 통계를 볼수 있다. 문헌 [48] 에서도 이런 문제들미 취급된다. 
Windows NT 통과암호기 구에 대 한 서 술은 [63, 139] 에 있 다. 를퓨터보안에 대 한 모든 
책들은 통과암호의 적절한 선택과 통과암호보안의 중요성에 대해 많은 조언을 주고 있다. 
인 터 네 트비 밀 ( privacy ) 에 관한 책 [124] 는 관련 있는 쏘프트웨 어 제 품에 대 한 지 시 자들 
과 함께 자동통과암호생성에 대한 내용들이 #어 있다. 

인터네트에는 수많은 통과암호크래커 들이 있다. 이 러한 프로그람들가운데 서 하나를 
해석하면 통과암호크래커들의 류형과 그것들이 리용하고 있는 사전의 크기와 기교에 대 
한 좋은 착상을 엄게 될것 이 다. 
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련습문제 


1. 자기의 를퓨터체계에서 통과암호기구를 확인하시오. 통과암호의 길이，통과암호형식， 
통과암호사용기한에 대한 어떤 규칙들이 있는가? 체계에 통과암호들이 어떻게 기억 
되여 있는가? 

2. 사용자가 통과암호를 구성할 때 26 개 의 영 어 자모문자만을 허 용한다고 하자. 

• 통과암호가 최대로 «개 («=4,6,8) 문자길이 이고 대소문자구분이 없다면 서로 다른 

통과암호를 몇개 만들수 있는가? 

• 우와 같은 조건에서 대소문자구분을 한다면 몇개의 통과암호를 만들수 있는가? 

3. 통과암호가 6문자길이를 가지며 대소문자를 포함한 모든 영 어 자모문자를 쓸수 있다고 
하자. 완전탐색공격이 평균 얼마동안 가해 지겠는가? 

• 하나의 통과암호를 검 사하는데 l /10 s 걸린 다면? 

• 하나의 통과암호를 검 사하는데 1 ms 걸린 다면? 

4. 길 이 n 인 통과암호를 만드는데 26 개 영 어 자모문자들만 쓸수 있 다고 하자. 또한 같은 통과 
암호를 대 소문자구분이 없는 체 계 와 대 소문자를 구분하는 체 계 에 서 각각 사용한다고 하자. 
이 때 대 소문자를 구분하는 통과암호의 판본 (version) 을 추측하는데 필요한 시 도회 수의 웃 
한계 를 구하시 오. 

5. 프로그람짜기 : 입력으로 길이 s 인 우연 2 진초기값 (seed) 을 취하는 통과암호생성기를 만드 
시 오 . 다음 련 습들에 서 값 s=8, 16, 32, 64 를 리 용하시 오 . 

• 서 로 다른 사용자들에 게 당신의 기 구를 써 서 통과암호를 생 성 하게 하고 그들이 같은 통 

과암호를 선택 하게 되 는 모든 경 우들을 조사하시 오. 

• 통과암호를 생 성 하고 그것 을 암호화하시 오. 우연초기 값에 모든 값들을 적 용하여 본래 의 

통과암호를 밝혀 보시 오. 통과암호를 발견하기 까지 몇 번 이 나 추측을 해 야 하겠는가? 

6. 토론 : 통과암호는 사용자가 입 력 하고 콤퓨터 가 검 사한다. 그러 자면 사용자와 콤퓨터 사이 
에 통신로가 있 어 야 한다. 지 금까지 우리 는 이 통신로를 추상적 으로 생 각하고 있 었 으며 그 
것 이 존재 하며 충분히 안전하다고 가정 하였다. 이 가정 이 정 당한것은 어느 때 인가? 어느 
때 정 당하지 않은가? 

7. 동시 에 여 러 개 의 통과암호를 적 용해 야 한다면 그것 들을 통과암호책 에 써 둘수 있 다. 통과암 

호책 은 바로 통과암호들을 포함하는 하나의 보호된 파일 이 다. 통과암호책 에 대 한 접 근은 
다시 기 본통과암호를 통해 조종할수 있 다. 이 러 한 기 구의 우점 은 무엇 인가? 

8. 문헌 [65] 에 서 술된 통과암호추측에 는 시 간/기 억 기 의 이 률배 반관계 가 존재 한다. N 을 가능 
한 통과암호의 개 수라고 하자. N 개 의 시 험 적 암호화를 리 용하는 예 비 계 산단계 에 서 N 2/3 개 
의 기입 란이 있는 표가 형성된다. 만일 후에 사용자가 어떤 주어 진 암호화된 통과암호를 
찾으러면 N 2/3 개의 시험적 암호화를 해 야 한다. 5bit 문자모임으로부터 길이 6 인 통과암호 
들을 선택 할 때 얼마만한 기 억 공간이 요구되는가? 하나의 시 험적 암호화가 1ms 걸 린다고 
하면 통과암호를 찾아 내 는데 시 간이 얼 마나 걸 리 겠는가? 

9. 상업 적 리 용가능한 생 체 공학적 인증체 계 들의 봉사를 설명 하시 오. 당신이 창안한 체 계 들을 
사용자들이 얼마나 잘 접수하겠는가? 
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제 3 장. 접근조종 


사용자는 체계에 가입하면 새로운 파일들을 창조하며 또한 자기의 파일들을 보호하려고 
한다. 파일들의 일부는 공동용이고 일부는 제 한된 사용자들을 위 한것 이며 또 일부는 전용일수 
있다. 사용자는 자기 가 계획한 접근조종방책을 표현하기 위한 언어와 접근조종을 시행 할 기 
구들을 요구한다. 이 장에서 는 접근조종에서 쓰이 는 어 휘들을 소개한다. 제 4 장에서 전문적 
인 접 근조종방책 들을 취 급한다. 


목적 

• 접 근조종의 기 초모형 을 소개 한다. 

• 몇 가지 접 근조작들을 보고 용어 들의 실제 적 인 정 의 를 자기 나름으로 해 석 하는것 은 위 험 하 
다는것 을 인식 한다. 

• 전문적 인 보안방책 들에 의 존하지 않는 본질적 인 접 근조종구조들을 제 시 한다. 

• 보안방책 들을 표현하는데 자주 리 용되 는 부분적 순서 화들과 살창들 그리 고 수학적 개 념 들 

을 정의 한다._ 


제1절. 배 경 

접 근조종의 세 부에 들어 가기전에 지난 수십년간에 걸 쳐 콤퓨터체 계 들과 그 리용분 
야들을 개 발하여 온 과정을 보기로 하자. 콤퓨터체계들은 자료를 처 리하고 기 억기，인쇄 
기 등과 갈은 공유자원들에 대 한 접 근을 조정한다. 그것 들은 기 밀성보다는 완정 성 의 리 
유로 하여 초보적으로 자료와 자원들에 대한 접근조종을 제공하여야 한다. 전통적 인 다 
중사용자조작체 계 들은 많은 사용자들에 게 일 반적 인 봉사를 제 공한다. 이 조작체 계 들은 
단순하고 일반적 인 접근조작들을 가지며 그것들이 조종하는 파일들의 의미와는 관련이 
없다. 현대탁상형콤퓨터조작체 계 들은 개별적사용자들의 작업을 지원한다. 여기에는 개별 
적응용들에서 전용으로 쓰이는 매우 복잡한 접근조작들이 많다. 흔히 사용자들은 프로그 
람실 행 의 상세한 낮은 준위 까지 에 는 흥미 가 없다. 그들의 높은 준위 보안요구를 낮은 준 
위보안조종에 맞추는것은 매우 어 렵 다. 다시말하여 일반용콤퓨터체 계 로부터 (유연한) 전 
용콤퓨터체계에로의 이행을 보여 주고 있다. 이 책에 서술된 서로 다른 접근조종모형들 
과 비 교할 때 이 경 향을 념두에 두어 야 한다. 


제2절. 주동체와 객체 

접근조종을 론하기 위해 우선 적합한 전문용어를 정의하여야 한다. 《접근》의 근본 
의미는 몇가지 특정한 접근조작으로 피동인 객체에 접근하는 능동인 주동체가 있다는것 
을 암시한다. 이 때 참조감시 기 (제 5장) 가 접 근을 허 락 또는 거 부한다. 그림 3-1 에 서 보여 
준 접 근조종의 기 초모형 은 람프손 ( Lampson ) [82] 에 의 해 제 안되 였 다. 
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그림 3-1. 접근조종의 기초모형 


대표적 인 주동체는 사용자 또는 처 리 ( process ) 이 다. 전형적 인 객체는 파일이나 기 
억기，인쇄기，콤퓨터망에서의 마디 등과 같은 자원들이다. 그러나 이것은 체계에 있는 
매 개 실체 가 주동체 이거 나 객체 이 여 야 한다는 식으로 명백한 구분이 있다는것을 의미 하 
는것은 아니다. 정황에 따라서 하나의 실체가 어떤 접근요구에서는 주동체이지만 다른 
접근요구에서는 객체일수도 있다. 《주동체》와《객체》라는 용어들은 하나의 접근요구 
에서 능동부문과 피동부문을 구별하는데 쓰인다. 접근조종에 초점을 둘 때 주동체와 객 
체는 다음의 두가지 선택을 가진다. 

• 주동체가 무엇을 하도록 허 락하겠는가? 혹은 

• 객체를 가지고 무엇을 할수 있는가? 

이것은 계1장 4절 1의 첫번째 설계원리의 한가지 실례이다. 전통적으로 조작체계의 
기본과제는 파일들과 자원들 즉 객체들을 관리하는것 이다. 이와 같은 관점에서 볼 때 대 
체로 뒤의 방법을 취하는 접근조종기구들을 만나게 된다. 그러 나 우리는 앞에서 자료기 
지 관리체계 와 갈은 응용지향 IT 체계들이 말단사용자들에게 봉사를 제 공한다는것을 보았 
다. 이러한 체계에는 주동체들의 작용을 조종하는 기구들이 적합하다. 


제3절. 접근조작 


콤퓨터체계를 어떻게 보는가에 따라 접근조작들은 객체지향체계에서의 기본적인 기 
억기접근으로부터 방법호출에 이르기까지 변한다. 비슷한 체계들이 서로 다른 접근조작 
들을 리용할수 있으며 지어는 갈은것으로 보이는 조작들에 서로 다른 의미를 붙일수도 
있다. 여기서는 이 분야에서 중요한 문헌들로부터 전문용어를 채용하여 몇가지 대표적인 
접근조작들을 검 토해 보기 로 한다. 

1. 접근방식 

주동체는 대다수 요소적인 준위에서 객체를 관찰하거나 변경시킬수 있다. 따라서 다 
음과 갈은 두가지 접근방식을 정의 한다. 

관찰 : 객체의 내용을 본다. 

변경 : 객체의 내용을 변경한다. 

대부분의 접근조종방책들을 관찰과 변경이라는 용어로 표현할수 있지만 이러한 방책 
묘사들은 그것들이 취급하는 응용과 너무 거리가 멀고 정확한 방책이 실현되였는가를 검 
사하기 어렵게 한다. 따라서 보다 풍부한 접근조작들을 보게 된다. 
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2. 접근권한과 접근속성 

좀더 복잡한 준위에서 우리는 콤퓨터보안의 력사에서 두개의 리정표인 제4장 2절의 
벨-라파둘라 ( Bell - Lapadula ) 보안모형의 접근권한과 Multics 조작체계 [119] 의 접근속성을 
보게 된다. 

거기에는 4가지 접근권한 즉 실행，읽기, 추가(맹목적쓰기라고도 한다)，쓰기가 있 
다. 그림 3-2 는 이 접근권한들과 2개의 기 본접근방식인 관찰과 변경 사이의 관계를 보여 
준다. 



실행 

추가 

읽기 

쓰기 

관찰 



X 

X 

변경 


X 


X 


그림 3-2. 벨-라과둘라모형에서의 접근권한들 

이 렇게 정의 한 리유를 리 해 하기 위하여 다중사용자조작체 계 가 파일들에 대 한 접근을 
어떻게 조종하는가를 보자. 사용자는 접근이 허락되기전에 파일을 열어야 한다. 보통 파 
일들은 읽기접근 또는 쓰기접근을 위해서 열려 질수 있다. 이 방법으로 조작체계는 두 
사용자가 같은 파일 에 동시 에 쓰기하는것 과 같은 충돌을 피할수 있 다. 효과성 의 리유로 
쓰기접근은 보통 읽 기접근을 포함한다. 실례 로 어 떤 파일을 편집하는 사용자는 한번은 
읽기 또 한번은 쓰기를 위해 파일을 두번 열지 않아도 된다. 따라서 쓰기지령을 관찰과 
변경 을 포함하도록 정 의하는것 이 좋다. 

일부 체계들은 실제로 추가조작을 가지고 있다. 내용을 관찰하지 않고 그 객체를 변 
경하는것은 흔히 쓰이는 조작은 아니 다. 검열기록들은 추가권한을 리용하는 하나의 실례 
이다. 기록파일에 써넣는 처리는 그 파일에 대한 읽기를 요구하지 않으며 대체로 그것을 
전혀 읽지 않는다. 


평문 

사용자신원 



그림 3-3. 암호화엔진 

조작체 계 들은 파일 들 례하면 프로그람들을 전혀 열 지 않고 리용할수도 있 다. 따라서 
관찰도 변경도 포함하지 않는 실행권한을 도입하게 된다. 그러면 콤퓨터가 프로그람의 
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명령들을 읽지 않고 어떻게 실행할수 있는가고 물을수 있다. 물론 그것은 옳으며 
Multics 의 실행속성은 실제로 실행권한과 읽기권한을 가진다. 그러나 객체의 내용을 읽 
지 않고 실행에 리용하는 조작들이 있다. 

내 용을 함부로 고칠수 없는 등록기 (tamper-resistant register) 에 주열쇠 를 보관하 
는 암호화엔진을 생각하자(그림 3-3). 

여기서 물리적으로 주열쇠를 읽어 낼수 있는 방법은 없으나 접근조종규칙들은 이 열 
쇠를 암호화에 리용하도록 누구를 허 락하는가를 통제할수 있다. 여 기서 이 열쇠는 읽지 
않고 리용할수 있으며 실행권한은 바로 이런 정황에서 설명된다. 

ᅀ 누군가가 정의한 접근조작들을 해석할 때 자기나름으로 해석하지 마시오. 

Multics 조작체계는 자료토막들에 대 한 접근속성들과 등록부토막들에 대 한 접근속성 
들을 구별한다. 주어 진 접근권한들의 모임을 객체의 류형에 따라 서로 다르게 해석하는 
것은 실제로 공통적인 현실이다. 이러한 접근속성들을 이름 지을 때 또다시 《읽기》나 
《쓰기》와 갈은 용어들을 리용하게 된다. 표현을 명백히 하기 위해서 벨-라파둘라의 접 
근권한들을 e, r, a, w 로 표기한다. 그림 3-4 는 접근속성들과 접근권한들사이의 대응 
관계를 보여 준다. 


읽기 r 상래 r 

실행 e,r 상태 , 변경 w 

읽기 , 쓰기 w 추가 설 . 

쓰기 a 탐색 e 

그림 3-4. Multics 에서의 접근속성들 

3. Unix 

보다 최 근의 실 례 는 Unix 조작체 계 에 서 의 접 근조종이 다. 여 기 서 접 근조종방책 들은 
다음과 같은 3 가지 조작들로 표현된다. 

읽기: 파일로부터 읽는다. 

쓰기: 파일에 써넣 는다. 

실행 : 파일 (프로 그람)을 실행 한다. 

이 조작들은 벨-라파둘라모형에서와는 다르다. 실례로 Unix 는 파일의 등록부에로 
의 쓰기접근을 조종함으로써 누가 파일들을 창조하거나 지울수 있는가를 조종한다. 다른 
조작체계들은 이 목적을 위 해 특별히 지우기조작을 가진다. Unix 에서 어떤 파일에 할당 
된 접근권한은 그것이 속한 등록부에 있는 그 파일의 기입사항을 수정함으로써 변경된다. 
다른 조작체계들은 이를 위한 득수한 조작들을 가진다. 

4. Windows NT 

마지 막실 례 로 접 근조종의 기 초로서 Windows NT 조작체 계 의 New Technology 
File System (NTFS) 에 서 리 용된 허 가에 대 하여 보자 [63]. 그것 들은 다음과 같 다 . 
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read (읽기) 
write (쓰기 ) 
execute (실행) 
delete (지 우기 ) 

change pemission (허가변경) 
change ownership (소유권 변 경 ) 

여기서는 파일들의 지우기나 접근권한의 변경을 조종하기 위해 등록부조작들에 의존 
하지 않는다. 접근권한을 변경시키는 조작들은 보안방책을 설정할 때 리용할 다른 하나 
의 인자이다. 주동체의 접근권한을 취급하는 조작들은 주동체의 접근권한이 어떤 다른 
부분에 의해서 변경될 때에는 허락 ( grant ) 과 취소 ( revoke ) 로 부르고 주동체자신이 자기 
의 접근권한을 변경할 때에는 주장 ( assert ) 과 거부 ( deny ) 로 부론다. 이러한 속성의 조작 
들은 위 임 방책 (delegation policies ) 들에서 쓰이는데 여기서는 하나의 주동체 가 다른 하 
나의 주동체를 불러 내고 불러 낸 주동체의 권한들을 설정해 주어야 한다. 


제4절. 소유권 

앞에서 주동체들이 어떻게 객체들에 접근하는가를 조종하는 방책들을 언급하였다. 
이러한 방책들은 다음장에서 론의한다. 또한 누가 그 방책을 책임지는가를 서술해야 한 
다. 여기에 두가지 근본적인 선택이 있다. 

• 자원의 소유자가 누구에게 접근허가를 주는가를 선언한다. 이러한 방책은 접근조종 
이 소유자의 자유이 기 때 문에 자유 ( discretionary ) 접 근조종이 라고 할수 있 다. 

• 체계전반의 방책 이 누가 접근허가를 가지는가를 선언한다. 명백한 근거로부터 이 러 
한 방책 은 위 임 ( manadatory ) 접 근조종이라고 할수 있 다. 

대부분의 조작체계들은 자원의 소유권개념을 지원하며 접근조종결심을 채택할 때 소 
유권을 고려한다. 그것들은 자원의 소유권을 재정의하는 조작들을 포함할수도 있다. 

앞에서 해설한 자유접근조종과 위임접근조종의 직관적인 설명을 콤퓨터보안에서 널 
리 리용되는 자유 및 위임접근조종에 대한 정의들과 혼돈하지 말아야 한다. 그러므로 이 
용어들은 오렌지부크 [112] 에 서술된 전문적 인 접근조종방책들을 따르기로 한다. 자기나 
틈의 해석을 주의해야 한다는것을 다시한번 강조한다. 


제5절. 접근조종구조 

다음으로 어떤 접근조작들이 허락되는가를 보자. 접근권한들은 주동체와 객체의 매 
개 조합에 대하여 개별적으로 정의될수 있다. 수많은 주동체와 객체들에 대하여 볼 때 
이러한 구조들은 관리하기 어려우므로 조종의 중간준위를 선택하게 된다. 다음과 같은 
표기를 받아 들인다. 

• 주동체들의 모임 s 

• 객체들의 모임 0 

• 접근조작들의 모임 A 
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1. 접근조종행렬 

접근권한들은 조종행렬(표)의 형식으로 아주 간단히 정의된다. 

M ^( Mso ) s es, 0 eo 여기서 MsoOA 

여 기서 항목 는 주동체 s 가 객체 o 에 대 해서 수행할수 있는 접근조작들의 모임 
을 나타낸다. 이 방법은 콤퓨터보안의 초기에 제기된것 이 다 [8 幻 . 

접근조종행 렬은 접근허 가행 렬 이라고도 부론다. 접근조종행 렬은 추상적 인 개 념 이며 
주동체와 객체의 수가 많거나 또는 주동체와 객체들의 모임이 자주 변하면 직접 실현하 
기가 그리 쉽지 않다. 

벨-라파둘라모형 (제4장 2절)은 오렌지부크의 자유접근조종방책을 모형화하기 위하여 
접근조종행렬을 리용한다. 

그림 3-5 는 두 사용자와 3개의 파일에 대한 접근조종행렬의 간단한 실례이다. 



bill, doc 

edit, exe 

fun. com 

Alice 


{execute} 

{execute, read} 

Bill 

{read, write} 

{execute} 

{execute, read, write} 


그림 3-5. 접근조종행 렬 


bill . doc 는 Bill 에 의해 읽혀 지거나 써질수 있으며 Alice 는 전혀 접근할수 없다. 

edit . exe 는 Alice 와 Bill 에 의해 실행은 될수 있으나 그밖의 접근은 할수 없다. 

fun . com 은 두 사용자에 의해 실행되거나 읽혀 질수 있으나 Bill 만이 그 파일에 쓸 
수 있다. 

2. 자격 

앞에서 겨우 하나의 접근조종행렬을 직접 실현하였다. 두개의 명백한 선택안중의 하 
나의 선택이 있다. 접근권한은 주동체 또는 객체에 주어 질수 있다. 첫째 경우에 매 주 
동체 는 자격 ( capabilities ) 즉 이 주동체 의 접 근권한을 명 시 하는 위 조할수 없는 통표를 
가진다. 이 자격은 접근조종행렬에서 주동체의 행에 대응한다. 앞의 실례에서 자격으로 
주어 진 접근권한은 다음과 갈다. 

Alice 의 자격: edit . exe ： 실행; fun . com ： 실행，읽기 

Bill 의 자격: bill . doc ： 읽기, 쓰기; edit . exe ： 실행; fun . com ： 실행，읽기， 

쓰기 

전형적으로 자격들은 자유접근조종과 관련된다. 주동체가 새로운 객체를 창조할 때 
다른 주동체들에게 적절한 자격을 허가함으로써 그 객체에 대한 접근을 줄수 있다. 또한 
어 떤 주동체 (처 리 )가 다른 주동체를 호출할 때 그의 자격 또는 자격 의 일부분이 호출된 
주동체에 넘겨 질수도 있다. 
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자격은 새로운 개념이 아니며 또 그것이 보안기구로 널리 리용되는것도 아니다. 왜 
냐하면 그것 이 보안관리의 복잡성을 초래하며 또한 조작체계들의 전통적 인 경향이 객체 
들을 관리하는 방향이라는것과 관련된다. 

• 주어 진객체에 대한접근허가를누가가지고있는가를알아내기는어렵다. 

• 자격을 취소하기는 매우 어 렵 다. 그러자면 조작체계가 그에 대한 과제를 받아야 하 
거나 사용자가 자기의 자격들의 리력을 모두 보관해야 한다. 이 문제는 그 자격에 
제 3 자에게로 자신을 넘겨 줄 권한이 있을 때 특별히 어렵게 된다. 

그러나 분산체계의 출현은 자격기초접근조종에서 흥미를 불러 일으켰는데 여기서 보 
안방책은 콤퓨터망에서 마디들사이를 물리적으로 혹은 가상적으로 떠돌아 다니는 사용자 
들을 취급해 야 한다. 

자격들을 리용하자고 결심할 때 에는 그것들의 보호에 대 하여 생각해 야 한다. 즉 자 
격들을 어 디에 기 억 하는가? 만일 자격들이 단일를퓨터체계내 에서만 리용된다면 조작체 계 
에 의한 완정성보호에만 의존할수 있다(제 5 장). 그러나 자격들이 망우에서 돌아 다닐 때 
에 는 암호학적인 보호도 요구된 다(제12장) . 

3. 접근조종목록 

접근조종목록 (ACL-Access Control List) 은 객체 그자체와 그 객체에 대한 접근권한 
들을 기 억 한다. 그러 므로 ACL 은 접 근조종행 렬 의 렬 (column) 에 해 당하며 누가 주어 진 
객체에 접근할수 있는가를 보여 준다. ACL 은 오렌지부크 C2 클라스 [112] 의 안전조작 
체계의 전형적인 내용이다. 앞의 실례에서 ACL 의 형태로 주어 진 접근권한들은 다음 
과 같다. 


Bill.doc 에 대 한 ACL Bill: 읽 기 ， 쓰기 

Edit.exe 에 대 한 ACL Alice: 실 행 ; Bill: 실 행 

Fun.com 에 대한 ACL Alice: 실행，읽기 ; Bill: 실행，읽기，쓰기 

접 근권한들의 관리 를 개 별적주동체 들에만 의 거하면 오히 려 부담이 된다. 그러 므로 
일반적으로는 사용자들을 그름으로 묶고 그 그롭의 접근권한들을 끌어 낸다. Unix 에서 
는 파일들에 불여 진 간단한 ACL 들을 볼수 있는데 이것은 객체들의 3개부류 즉 사용자， 
그롭 기 타에 대한 기본접근방식들을 보여 준다(제6장 4절). ACL 들은 객체들에 대한 접 
근을 관리하도록 만들어 진 조작체계 에 적합한 개념 이 다. 만일 어떤 사용자에게 주어 진 
허가들을 취소하기 위해 그 사용자의 허가들을 알아 내려면 모든 ACL 들을 힘겹게 람색 
해 야 한다. 


제6절. 중간조종 

대규모체계들인 경우에는 접근조종행렬을 만든다 해도 이 행렬로 표현된 보안방책을 
관리하는것은 매우 복잡한 과제 이다. 특히 이 행렬의 모든 항목들을 요구대로 설정하는 
것은 시끄럽고 오유를 범하기 쉬운 일이다. 더우기 주동체들이나 객체들에만 기초한 접 
근조종은 보안방책의 제한된 범위만을 지원한다. 접근조종결심에 적절히 포함될수 있는 
그이상의 정보는 객체에 접근하기 위하여 주동체가 불러 내는 프로그람에 따른다. 이것 


38 



은 1960년대 초 캠브리지에서 개발된 Titan 조작체계에서의 접근조종에 대한 다음의 설 
명문에서 볼수 있는것처럼 전혀 새로운것이 아니다 [109]. 

특별히 사용자의 신원뿐아니라(또는 그대신에) 프로그람의 신원을 접근조종결심을 
위 한 파라메터 로 리 용할수 있 다. 

ᅀ 새로운 기술이 반드시 새로운 보안문제를 낳는것은 아니다. 흔히 《새로 
운》문제들은 낡은 문제들의 재생이며 그것들에 대한 해결원리들은 이미 
알려 져 있다. 


1. 그룹들과 부정허가 

그롭은 접근조종방책들에 대 한 정의를 간단히 하기 위한 수단으로서 이미 언급되 였 
다. 류사한 접근권한들을 가진 사용자들을 그룹으로 묶고 그룹단위로 객체들에 대한 접 
근허가를 준다. 어떤 보안방책들은 사용자가 오직 하나의 그롭성원으로 될것을 요구하며 
다른 보안방책들은 하나이상의 그룹의 성원자격을 가질것을 허락한다. 그림 3-6 은 모든 
접근허 가를 그롭성원자격을 통하여 중재할수 있는 리상적 인 세계를 보여 준다. 



흔히 보안방책들에서는 일부 주동체에 하나의 객체에 대한 허가를 직접 주는것 또 
는 어떤 주동체에 대해 그가 속한 일부 그룹에서 그의 성원자격으로부터 주어 지는 허 
가를 부인하는것이 편리한 특수경우들이 있다. 부정허가는 접근조종구조에 있는 하나의 
기 입인데 이것은 주동체 가 수행할수 없는 접 근조작들을 명 기한다. 그림 3-7 에서 주동체 
지는 객체 이에 대한 접근이 부인되며 주동체 자은 객체 야에로의 접근이 허 락된다. 

2. 보호고리 

보호고리들은 주동체와 객체들사이 중간층의 간단한 실례로 된다. 매개 주동체 (처리) 
와 매개 객체는 그의 《중요성》에 대응되는 하나의 번호를 할당 받는다. 대표적실례로 
이 번호들을 0，1，2, 3이 라고 하면 처 리들은 다음규칙 에 따라서 그 번호들을 접수한다. 


39 




그림 3-7. 부정허가를 가지는 접근조종 


0. 조작체계의 핵심부 

1. 조작체계 

2. 봉사프로그람들 

3. 사용자처리들 

접 근조종결 심 을 세 우기 위해 주동체 들과 객 체 들의 번 호를 비 교한다 (결 심 의 결 과는 
보호고리 를 리 용하여 실 현 하려 는 보안방책 에 의 존한다) . 이 번호들은 동심 보호고리 들에 
대응하는데 중심에 있는 고리 0이 가장 높은 보호준위를 가진다(그림 3-8). 만일 처리가 
번호 /로 할당되면 그 처리는《고리 /에서 실행된다.》고 말한다. 



보호고리들은 주로 완정성보호에 리용되 여 왔다. QNX / Neutrino 의 체계/사용자보 
호는 이러한 보호기구의 최근의 실례로 된다. 여기서는 보호고리들에 다음과 같이 쏘프 
트웨어 요소들을 할당한다. 

• Neutrino 마이크로핵심부는 고리 0에서 실행한다. 

• Neutrino 처 리관리 자는 고리 1에서 실행 한다. 

• 그밖의 모든 프로그람들은 고리 3에서 실행한다. 

조작체계코드와 같은 중요한 자료를 포함하는 기억위치들에는 오직 고리 0 또는 1에 
서 동작하는 처 리들만이 접근할수 있다. Unix 도 이와 류사한 보호모형을 쓰는데 0준위 
와 3준위 만을 리 용한다. 보호고리들은 이미 Multics 조작체계에서 도 리 용되였으며 이와 
같은 보안기 구를 지 원하기 위한 전용하드웨 어 가 개 발되 였 다 [138]. Intel 80386과 80486 
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처 리 기들에서도 기계 어준위 에서 류사한 특징 들이 제 공된다. 그러 나 보호고리 들은 일반도 
구로서 이 책에서와 참고문헌들에서 언급되지 않은 다른 접근조종방책들을 실현하는데도 
쓰일수 있다. 

3. VSTa 마이크로핵심부에서의 능력 

보다 세련된 접근조종방책들을 표현하기 위해서는 보다 유연하고 보다 내적인 구조 
를 가지는 중간층에 대한 개념이 요구된다. VSTa 마이크로핵심부의 능력 ( Ability ) 들은 
이러한 개념을 위한 좋은 실례이다. 그것들이 제3장 5절 2에서 정의한것과 갈은 완전한 
자격들은 아니기때문에 대신에 능력이라는 말을 쓰기로 한다. 능력은 점뒤에 옹근수가 
붙은 «개의 옹근수렬형태의 자료구조이다. 례하면 능력은 .….“으로 표현되는데 여 
기서 사, …,4은 옹근수들이 다. 여 기서 길 이 n 에 대 한 제 한은 없다. 그리 고 n 은 0일수도 
있다. 능력들에 대한 실례로 .1.2.3 이나 .4 또는 .10.0.0.5 를 들수 있다. 이러한 내부구 
조로 하여 능력 들의 모임 에 는 부분순서 화 (partial ordering ) 가 존재 한다. 


정의 : 모임 쇼에 대한 부분순서화 < 은 LXL 에서 하나의 관계이며 이것은 
반사성 :모든 a eL 에 대 하여 a < a A 성 립 한다. 

이동성 :모든 a , b f &BL 에 대해서 a < b 이고 b < c 이면 a < c 이다. 
반대칭성 :모든 a , b&L 에 대해서 a < b 이고 b < a 이면 a = b 이다. 
만일 두 요소 a , b&L 를 비교할수 없다면 aibi 쓴다. 


능력들은 앞불이관계를 통하여 순서화될수 있다. 

하나의 능력 a 3 이 있어서 이=« 2 « 3 이라고 쓸수 있다면 능력 a 2 은 능력 이의 앞붙 
이 이 다. 이 경우에 a ^ ai 로 쓴다. 

이 앞붙이순서화로써 능력들을 비교할수 있다. 즉 .1 소 1.2 소 1.2. 3이지만 .1 文.4 
이 다. 접 근조종방책 은 능력 들을 가지 고 주동체 들과 객 체 들을 표식할수 있으며 주동체 의 
능력 이 객체능력의 앞붙이 이면 접근을 허 락한다. 이 경우에 모든 객체들에 접근할수 있 
는 특권사용자의 능력은 빈 문자렬，이 다. 따라서 어떤 주동체에 능력을 할당하지 않음 
으로써 그 주동체가 모든 객체에 접근하는것을 허락하게 된다. 

/十、 주동체와 객체의 속성들을 비교한다. 이러한 속성들중의 어느 하나가 빠지면 
무슨 일 이 발생 하였는가를 늘 검 사하여 야 한다. 장애안전작용은 접 근을 부인 
하여야 한다는것을 암시한다. 

4. 특권들 

조작들에 주의를 돌리면 어떤 특권조작들을 실행할 권한을 수집할수 있다. 대표적 
으로 특권들은 조작체계기능들과 관련되며 체계관리, 여벌만들기，우편접근，망접근과 
갈은 작용들에 관계된다. 특권들은 주동체들과 조작들사이의 중간층으로 볼수 있다(그 
림 3-9). 
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그림 3-9. 주동체 와 조작들사이 중간층으로서의 특권들 


5. 역할에 기초한 접근조종 

특권들은 보통 조작체계에 미리 정해 져 있다. 전용조작들(수속)의 집합을 역할 
( role ) 이 라고 한다. 주동체 들은 그들이 수행하는 역 할로부터 자기 들의 접 근권한들을 끌 
어 낸다. 역할에 기초한 접근조종 ( RBAC ) 은 사용자들과 사용자들이 수행하는 일감들에 
초점을 둔다. 

주동체들과 객체들사이의 중간층은 접근조종관리의 복잡성을 줄이는데 리용된다. 중 
간층들名 r 하나이상의 위치들에 삽입할수 있으며 접근조종을 조직하는데 하나이상의 층을 
리용할수 있다. 

층들의 선택은 다음과 갈은것들을 포함한다. 

• 역할: 역할은 수속들의 집합이다. 역할은 사용자들에게 할당된다. 사용자는 하 
나이상의 역 할을 가질 수 있 으며 하나이상의 사용자가 갈은 역 할을 가질수 있 다 
•34]. 

• 수속: 수속은 읽기나 쓰기보다 더 복잡한 의미를 가지는 고준위접근조종방식이다. 
수속은 일정한 자료형을 가진 객체들에만 적용될수 있다. 실례로 은행구좌들사이에 
서의 자금전송을 들수 있다. 

• 자료형 : 매 개 객체 는 일정한 자료형 을 가지며 이 자료형 에 대 하여 정의된 수속들을 
통해서만 접근될수 있다. 어떤 객체에 접근할수 있는 수속들을 제한함으로써 그에 
대한 접근을 조종하는것이 일반프로그람작성에서 관례로 되여 있다. 이것은 추상자 
료형의 리론에서 근본적인 개념이다. 

이와 같은 구조화된 접근조종은 많은 응용들에서 절실히 요구되지만 아직은 많은 조 
작체계들에 적용되지 못하고 있다. IBM 의 AS /400 [112] 에서의 사용자프로필들과 
Windows NT (제7장)에서 의 전역그룹와 국부그룹들은 주목할만한 례외 이 다. RBAC 는 
자료기지관리체계들에서 많이 쓰인다. 
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제 7 절. 보안준우 I 의 살창 

콤퓨터보안의 본질적인 사실들을 파악하기 위해서 살창 ( lattice ) 에 대한 리해가 필수 
적인것은 아니다. 그러나 보안문제에 관한 론문들을 읽을 때 살창을 리해하면 도움이 된 
다. 보안준위는 보호고리나 VSTa 능력들과 같은 또 하나의 보안속성이며 보안방책들을 
표현하기 위한 기 초로서 주동체 와 객 체 들을 표식하는데 리 용된다. 간단한 실례 로 그림 
3-10 에 보여 준것처럼 선형으로 순서화된 4개의 보안준위들 즉《비밀이 아닌》, 《비밀 
에 관계되는》，《비밀》，《극비밀》을 생각해 보자. 

오렌지 부크의 위 임접근조종방책 ( MAC ) 과 여 러준위 보안방책 들은 보안준위 들에 귀 착 
된 다. 이 제 부터 보안준위 들의 모임 을 L 로 표시하겠 다. 

만일 보안준위 들의 선형 적 인 순서 화를 주장한다면 보안방책 들의 제 한된 모임밖에 표 
현할수 없다. 그러므로 보다 일반적 인 순서화구조가 있으면 좋을것 이 다. 제3장 6절 3에 
서 도입한 보안준위 들의 부분순서 화 < 는 L 의 모든 두 요소가 서 로 비 교할수 있 어 야 한 
다는것을 요구하지 않으므로 일부 요구들에 맞는다. 

극비 밀 (top secret) 

t 

비 밀 (secret) 

t 

비 밀 에 관계 되 는 (confidential) 

t 

비밀이 아닌 (unclassified) 

그림 3-10. 선형순서의 보안준위들 

다음요구는 주동체의 보안준위가 객체의 보안준위보다 높을 때에만 주동체가 객체를 
관찰할수 있게 하는 표준기 밀성방책 으로부터 나온다. 다음의 두 질 문에 유일한 답이 있 
어 야 한다. 

• 서로 다른 보안준위에 있는 두개의 객체가 주어 졌을 때 한 주동체가 두개의 객체를 
다 읽을수 있게 하는 최소보안준위는 무엇인가? 

• 우와 갈은 조건에서 한개의 객체가 두개의 주동체에게 읽혀 질수 있게 하는 최대보 
안준위는 무엇 인가? 

이 두 질 문에 대 답하기 위한 수학적 구조는 이 미 존재한다. 그것 을 살창 ( lattice ) 이 라 
고 한다. 형식상 그것을 다음과 같이 정의할수 있다. 


43 




정의: 살창(八 幻은 모임 으과 부분순서화 < 로 구성되며 모든 두개 원소 a , beL 에 
대하여 가장 작은 웃한계 weL 과 가장 큰 아래한계 I eL 이 존재한다. 즉 
a< u, b < m 이고 모든 vez/ 게 대하여 (a< vAb < v)^>(u <v). 

/ < a , / < b 이고 모든 A : eL 에 대하여 (쇼< aAk < b )^( k < I ). 


보안에 서 는 a < 公 이 면 《 a 는 公 에 의 하여 지 배 된다.》또는《 公 는 a 를 지 배 한 
다.》고 말한다. 다른 모든 준위들에 의하여 지배되는 보안준위를《체계낮음 》 (System 
Low ) 라고 한다. 또 다른 모든 준위 를 지 배하는 보안준위 를 《체 계높음 》 (System 
High ) 라고 한다. 

살창의 대표적인 실례를 그림 3-11 에 보여 준다. 모임 L 은 { a , 느， c } 의 Power 모 
임 戶 ({a , 公， c }) 이 다. 부분순서 화는 부분모임 관계 C 이 다. System Low 는 빈모임 必 
를，그리고 System High 는 모임 { a ， Z ?， c } 를 가진다. 부분모임관계는 그라프로 묘사되 
며 여기서 마디들은 PGa , 느 c }) 의 요소들이다. 마디들사이의 화살표는 부분순서화의 
《골격》 ( skeleton ) 을준다. 엄밀 하게 A , 公 e Z 5 ({ a , 氏 c }) 에 대하여 만일 A 〔公이고 
A 유 公 이면 또 그때 에 한하여 쇼 로부터 公 에 로의 화살표를 그을수 있으며 그리고 A c 
C 〔公 이고 A ^ C , 公는이면 신근/^니必^ᄆ가존재하지 않는다. 


{a, 公 , cl 



{a, b} {a, c) {b, c} 


[a] {b} {c} 



그림 3-11. 살창 (P ({ 公 , 公 , c}), c) 

이 러한 규칙 에 따라 ᅀ 로부터 5에로의 화살들의 련쇄가 있으면 쇼는 公의 부분모 
임 이다. 이 책에서는 부분순서화를 시각화하는데 이 러한 수법들을 사용한다. 

살창의 다음실례 로 오렌지 부크와 기 타 많은 문헌들의 여 러준위보안방책 에 널 리 쓰이 
는 한가지 구성 을 소개한다. 구체 적 인것 은 계 4 장에 서 취 급한다. 

• 계층 (선형) 순서 화 知를 가지 는 분류 ( classification ) 들의 모임 // 를 취 한다. 
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• 범 주 ( category ) 들 례 하면 대 상과제 ( project ) 들의 이 름，회 사들，학문분야들 등의 
모임 C 를 취한다. 

• 구획 ( compartment ) 은 범 주 ( category ) 들의 모임 이 다. 

• 보안표식 ( secur i y label ) (보안준위)은 쌍 (/ j ， c ) 이며 여기서 사£ 公는 보안준위이 

고 는 구획 이다. 

• 보안표식들의 부분순서화 <는 만일 /ll < 이고 Q c c 2 이면 또 그때에 한하여 
(hu Cl ,)<( h 2 , c 2 ) 에 의해 정의된다. 

그림 3-12 가 이 구조를 보여 준다. 두개 의 계 층준위 즉 공개 ( public ) 와 비 공개 
( private ) 이 있고 두개의 부분 PERSONNEL 과 ENGINEERING 이 있다. 

이로부터 얻 어 진 살창에서 다음관계 가 성 립 한다. 

( public , { PERSONNEL }) < ( private , { PERSONNEL }), 

( public , { PERSONNEL })<( public , { PERSONNEL , ENGINEERING }), 

( public , { PERSONNEL }) i ( private , { ENGINEERING }). 

이러한 보안표식들의 살창을 가지고 위임최소특권 ( need - to - know ) 방책들을 실현할 
수 있다. 그것이 어떻게 작용하는가를 보기 위하여 앞에서 본 간단한 기밀성방책의 관점 
에서 그림 3-12 의 살창을 보자. 보안표식 ( private , ENGINEERING ) 을 가진 주동체는 
표식에 범주 PERSONNEL 을 가지는 객체는 읽을수 없다. 즉 ( public , { PERSONNEL , 
ENGINEERING }) 로 표식된 객체조차도 읽을수 없다. 


비 밀, {PERSONNEL, ENGINEERING} 



공개 , {PERSONNEL} 공개， {ENGINEERING} 



그림 3-12. 보안표식들의 살창 


우연히 는 아니 지 만 여 기서 는 여 러 준위보안방책 들에서 흔히 쓰는 그림 3-10 의 간단한 
계층살창을 가지고 보안살창들의 론의를 시작하였다. 체계들은 매우 높은 준위의 담보 
밑 에 이 방책들을 실행하도록 구축된다. 다음에 큰 방책변화를 표현할수 있게 구획들을 
추가한다. 오늘날 높은 준위 담보때 문에 여 러 준위보안체 계 를 사용한 응용들을 볼수 있는 
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데 사실 그것들의 보안준위에는 계층적요소들이 전혀 없다. 실례로 방화벽방법은 망의 
내부와 외부사이를 엄격 히 분리 하기 위하여 그림 3-13 과 같은 살창을 리용한다. 이것을 
주장하기 위해 부분순서화를 어떻게 해석하는지 알아야 하는것은 아니 다. 


System high 



System low 

그림 3-13. 방화벽을 위한 살창 


이 장의 문헌안내 


기본적 인 접근조종구조들과 보안살창들은 문헌 [1，39, 125] 들에서 취급되였다. 접근 
조종 (보호) 에 대 한 초기 론문들4 [82， 131] 이 고 [158] 은 1960년 에 개 발된 조작체 계 의 접 
근조종에 대 하여 취급하였다. 보호고리를 위한 보안방책의 실례들은사讀11， 125] 에 주어 
졌다. 역 할기초접근조종에 대 한 최근 자료들은 [134] 에서 언급되 였다.살창기초접근조종 
모형들은 [123] 에서 볼수 있는데 기 밀성 과 완정성 을 취 급하기 위한 그의 응용에 대 해서 
도 서술하고 있다. 

QNX/Neutrino 마이크로핵심부와 VSTa 마이크로핵심부에 대 한 Web 폐지들은 다음 
과 같다. 

http ：// www . qnx . com / literature / nto _ sysarch / ntosysarch . html 

http ：// www . zendo . com / vsta / vsta _ intro . html 

련습문제 


1. 등록부에 대한 접근조작들을 표현하는데 두 비트가 주어 졌다면 4개 조작들을 어떻게 
정의하겠는가? 파일들의 창조와 삭제를 어떻게 조종하겠는가? 이러한 접근조작들을 
가지고 숨은 ( hidden ) 파일들의 개념을 어떻게 실현하겠는가?(숨은파일들은 권한 있 
는 주동체 들에게만 보인다.) 

2. 4가지 접근조작들 즉 읽기 ( read ), 쓰기 ( write ), 허 락 ( grant ), 취소 ( revoke ) 를 가지 
는 체 계 를 생 각하자. 허 락 ( grant ) 은 다른 주동체 들에 게 읽 기 와 쓰기 접 근을 주기 위 
해서뿐아니 라 자기가 소유한 객체들에 대한 접근을 허 락하는 권한을 그들에게 넘겨 
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주기 위해서도 사용할수 있다. 허락과 호출조작을 실현하는데 어떤 자료구조와 알고 
리듬을 리용하면 자기가 소유한 어떤 객체에 대한 모든 접근을 호출할수 있겠는가? 

3. 토론: 그롭과 역 할 ( role ) 사이의 차이는 무엇 인가? 

4. 계3장 6절 3에서 정의한 능력들의 부분순서 화가 왜 살창을 구성하지 못하는지 설명하 
시오. 능력들의 모임에 어떤 다른 필요한 요소들을 추가하여 부분순서화를 살창으로 
변환하시오. 

5. 주동체의 보안준위가 객체의 보안준위를 지배할 때 에만 주동체 가 객체 에 접근할수 있 
다고 하는 보안방책 이 주어 졌다. 이 보안방책과 함께 그림 3-14 의 살창을 리용하면 
어떤 효과가 있는가? 



6. ( L , 文)이 보안준위살창이고 여 기서 L 은 유한모임 이 라고 하자.이 와 같은 살창에 
System Low 와 System Heih 가 유일 하게 존재 한다는것 을 말하시 오. 

7. 보 안준위 들이 public , confidential , strictly confidential 이 고 부문들 이 MIN , 
LECTURERS , STUDENTS 로 주어 졌을 때 보안표식들의 살창을 구성하시오. 최소 
특권 ( need _ to _ know ) 방책 에 서 보안준위 ( confidential , { STUDENTS }) 를 가지 는 주 
동체에게 어떤 객체들이 보이겠는가? «개의 보안준위와 m 개의 부문들로부터 얼마 
나 많은 표식들이 엄어 질수 있는가? 실례로 n =16, w =64 인 경우를 생각해 보시오. 

8. 보안표식 들로서 구획 ( compartment ) 들의 살창을 리 용하는 보안방책 이 주어 졌 다. 접 
근은 주동체의 표식 이 객체의 표식의 부분모임 일 때에만 허가한다. ADMIN , 
LECTURERS , STUDENTS 라 는 부 문 들 을 가 지 고 어 떤 객 체 들 이 표 식 
{ STUDENTS } 를 가 진 주동체 에 의해 접 근될수 있 는 가? 왜 표식 { ADMIN , 
STUDENTS } 를 가지는 주동체가 표식 { STUDENTS } 를 가지는 주동체보다 더 속박 
되는가? 이 방책에서 표식 $과 { ADMIN , LECTURERS , STUDENTS } 의 역할블 
을 해석하시오. 

9. 부문들의 모임 이 주어 졌 다. 주동체 의 접 근권한을 선택 적 으로 취 소시키 는 살창기 초 
need _ to _ wi 比 ihold 방책을 작성하시오. 
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제 4 장. 보안모형 


당신의 보안방책은 무엇인가? 누가 당신의 자료에 접근하는가를 어떤 규칙들이 결정 
하는가? 보안방책을 정식화하기 위하여서 그 방책에 의하여 지배되는 실체들을 서술해야 
하며 또 방책을 구성하는 규칙들을 서술해야 한다. 보안모형이 바로 그 일을 한다. 이장 
은 앞에서 학습한데 기초하여 가장 우수한 몇가지 보안모형들을 조사한다. 

보안모형들은 기밀성을 위한 방책들(벨-라파둘라)과 완정성을 위한 방책들(비바，클 
라크-월슨)을 취한다. 일부 모형들은 정적인(벨-라파둘라)환경에 방책들을 적용하고 기 
타는 접근권한들의 동적변화를 고려한다(《장성》). 

형식적보안모형들(벨-라파둘라와 갈은)은 믿을만한 보안평가들에서 중요한 자리를 
차지한다. 클라크-월슨과 같은 비형식적인 모형들은 보다 서술적인 구조로 보안방책들을 
나타낸다. 

목적 

• 보안방책들이 형식적인 수법에 의해 어떻게 표현되는가를 설명한다. 

• 를퓨터보안의 력사에서 중요한 리정표들을 제시한다. 

• 여 러가지 보안모형들의 유효범위와 한계들을 리해한다. 

• 보안에서 일부 결심문제들은 고유하게 결정 할수 없다는것을 인정한다. 


제1절. 상태기계모령 


상태기계 (자동체)들은 계산체계들의 여 러 측면들을 모형화하는 하나의 공통적 인 도 
구들이다. 이러한 상태기계들은 또한 일련의 중요한 보안모형들을 위한 기초로도 된다. 
상태기계모형에서 본질적인것은 상태의 개념과 리산점들에서 일어 나는 상태이행의 개념 
이다. 상태란 어느 한 순간의 고찰하는 체계에 대한 묘사를 말하는데 이것은 고찰하는 
문제와 관계되는 체계의 측면들을 정확히 반영하여야 한다. 가능한 상태이행은 상태이행 
(다음상태)함수에 의해서 서술되는데 이것은 현재상태와 입력에 따라 다음상태를 정의한 
다. 출력도 역시 생성할수 있다. 

만일 상태기계모형을 리용하여 보안과 같은 체계의 특정한 어떤 속성에 대하여 말 
하려고 한다면 먼저 이 속성을 만족시키는 모든 상태들을 동일시 하여 야 한다. 다음에 
모든 상태이행들이 이 속성을 유지하는가를 검사하여야 한다. 만일 체계가 이 속성을 
가지는 초기상태 에서 출발한다면 다음에 그 속성 이 항상 유지될수 있는가는 귀 납법 에 
의해 확인할수 있다. 
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제 2 절. 벨-라파둘라모령 

보안모형들은 보안체계의 설계와 해석에서 중요한 개념이다. 그것들은 체계에서 
실시될 보안방책을 표현한다. 벨-라파둘라모형 (BLP) 은 가장 널리 알려 진 보안모형들 
중의 하나이 다. 그것 은 안전한 다중사용자조작체 계 를 설 계 하기 위한것 으로서 벨 (Bell) 
과 라파둘라 (LaPadula) 에 의해서 개발되였다. BLP 는 접근조종의 기밀성측면들을 취 
급하는 상태 기계 모형 이 다. 접근허 가들은 접 근조종행 렬과 보안준위 들을 통하여 정의된 
다. 보안방책들은 높은 보안준위로부터 낮은 보안준위 에 로 정보가 내 리흐르는것을 막 
는다. 이러한 방책들은 일반적으로 여러준위보안 (MLS) 에 귀착된다. BLP 는 주동체가 
어떤 객체를 관찰하거나 변경시킬 때 일어 나는 정보흐름만을 고찰한다. BLP 모형에서 
는 다음과 갈은 모임 들을 정 의한다. 

• 주동체 들의 모임 S : 

• 객 체 들의 모임 0 : 

• 제 3장 3절 2의 접 근권한들을 직 접 반영하는 접 근조작들의 모임 
A = {execute, read, append, write} : 

• 부분순서화 < 를 가지는 보안준위들의 모임 L ; 

어떤 체계의 보안을 검사하기 위하여 그 체계의 상태를 리용한다. 그러므로 모형의 

상태 모임은 객체 들에 접 근하는 주동체 들의 모든 현재 허 락들과 현재 실례 (instance) 들을 

표현하여야 한다. 이것은 복잡한 상태모임 BXMXF 를 만들어 낸다. 여기서 

• B = P (5 XOXA ) 는 현재접근들의 모임이다. 요소 b G B 는 요소결합 U o , a ) 들의 
집 합이 며 주동체 s 가 객 체 o 에 대 하여 현재 수행하는 조작 ᄍ 를 가리킨 다. 

• 사은 접 근허 가행 렬 M =( Mj s ^ s , 들의 모임 이 다. 

• F 〔 Z / XZ / XL ° 는 보안준위 할당들의 모임 이 다. 요소 /태는 3중요소 (f s , f c , fo) 이 며 
여기서 


f s .： S^L 은 매 개 주동체 가 가질수 있는 최 대보안준위 를 준다. 

令 fc- S 구 L 은 매 개 주동체 의 현재보안준위 를 준다. 

香 fo- O^L 은 모든 객체들의 (보안)등급을 준다. 

주동체의 현재준위는 그의 최대준위보다 높을수 없으며 따라서 /c；</ s .이다. 이것을 
다른 말로 는 fc 를 지 배 한다.》라고 한다. 최 대 보안준위 를 때때 로 주동체의 기밀 취 
급허가 (clearance) 라고도 한다. 다른 원천들은 기밀취급허가를 다만 사용자들의 보안준 
위를 표시하기 위해서 리용한다. 

상태 모임 을 잘 정 의하는것 은 BLP 에 서 중요한 문제 이 다. BPL 보안속성 을 주는데 는 
입력，출력 그리고 엄밀한 상태이행의 구조를 서술하지 않아도 된다. 

1 . 보안방책 

BLP 는 상태 들의 속성 으로서 보안을 정 의한다. 여 러 준위 보안방책 들은 주동체 의 보안 
준위 가 객체의 (보안)등급 (classification) 을 지배할 때 에만 주동체 가 객체 를 읽도록 허 
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락한다. 이러한 여러준위보안방책들은 위 임 ( mandotory ) 보안방책이 라고 한다. 첫번째 
명 백 한 속성 은 단순보안속성 ( ss - property ) 이 다. 


단순보안속성 ( ss - 속성) : { s , o , a ) &b 의 매 개 요소에 대 하여 (여 기서 접근조작 a 는 
읽 기 또는 쓰기 이 다. ) 주동체 s 의 보안준위 가 객 체 o 의 (보안) 등급을 지 배하면 즉 
/ c ( c ) 브於⑴ 이 면 상태 ( fe ， M ,/) 는 단순보안속성 을 만족시 킨다. _ 


그러 나 단순보안속성은 낮은 준위의 주동체가 높은 준위객체의 내용을 읽는것을 막 
기에는 충분치 않다. 그것은 높은 준위객체를 읽고 그것을(그의 내용을) 낮은 준위객체 
에 복사하는 높은 준위 트로이목마 (Trojan horse ) 를 만들어 낼수 있다. 그래서 별표속 
성 (— property ) 을 통하여 쓰기 접 근을 조종한다. 


별표속성 (*- 속성): 만일 ( s , o , a ) 타인 매개 요소에 대하여 (여기서 접근조작 a 는 추 
가나 쓰기 이 다. ) 객 체 0의 (보안)등급이 주동체 s 의 현재준위 를 지 배하면 즉 / c ( s ) 브 
/ o ( o ) 이면 상태 (b , M , f ) 는 별표속성을 만족시킨다. 이것은 내려쓰기보안방책이 아니 
다. 더우기 어떤 요소 ( s , o, a ) e 느 (여기서 접근조작 a 는 추가 또는 쓰기 이 다)가 존 
재하면 ( s , o'a ᄉ ) e &와 읽기 또는 쓰기 인 a ' 을 가지는 모든 객체 o' 에 대해서 
foio" ) </ o ( o ) 를 가져 야 한다. _ 


이 정의는 높은 준위주동체가 낮은 준위주동체에 통보문을 보낼수 없다는것을 직접 
암시 한다. 이 제 한을 벗 어 나기 위 한 두가지 방법 이 있다. 

• 림시로 높은 준위주동체의 준위를 떨군다. 이것은 현재보안준위 介를 도입하는 리유 
이다. 

• 별표속성을 위 반하도록 허 락된 주동체들의 모임을 동일시한다. 이 런 주동체들을 신 
용 받는 주동체들이 라고 한다. 

첫째 방법은 주동체가 그의 준위가 떨어 질 때 높은 보안준위에서 알고 있던 모든것 
을 잊어 버린다고 가정한다. 이것은 주동체를 사람처럼 본다면 인정하기 어려운것이지만 
BLP 는 콤퓨터를 모형화한것이다. 주동체들(처리들)은 자기의 고유한 기억을 가지지 못 
한다. 그것들이 《아는》것이란 그것들이 관찰하도록 허락된 객체들(파일들)의 내용뿐이 
다. 이런 상황에서 림시준위를 떨구는것은 문제의 해결책으로 된다. 

둘째 방법 에 서 fs 는 사용자의 취 급허 가(최 대보안준위 )를 서 술한다. 사용자들은 자 
기 들의 최 대 보안준위 아래 에 서 가입 이 허 락되 며 / c 는 사용자가 실 제 로 가입 한 준위 를 
가리 킨다. 

둘째 방법을 채용할 때 별표속성은 믿을수 없는 주동체들에 대해서만 취해 져야 한 
다. 정의 에 의하여 신용 받는 주동체는 보안방책을 위 반할수 있다. 실제 로 자기를 해칠 
수 있는 체 계 요소들에 대 한 지 적 자로서 형 용사적 인 《 신용 받는》이 라는 단어 를 엄 밀 하 
게 사용할수 있다. 반대로 주동체가 자신을 해치지 않는다는것을 담보한다면 그것을 믿 
을만 하다고 한다 ( turstworthy ). 

오렌지부크는 이름 불은 사용자들과 이름 불은 객체들에 기초한 접근을 조종하는 방 
책 에 대 하여 자유접 근조종 ( DA 必 이라는 용어 를 쓰고있 다. 접 근허 가를 유지 하는 주동체 
들은 그 허가를 다른 주동체들에게 넘겨 줄수 있다. BLP 에서 이러한 방책들은 접근조종 
행렬에 의해 표현되며 다음과 같은 자유보안속성에 포함된다. 
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자유보안속성 (ds-property) : (s, o, a)e 公의 매개 원소에 대하여 aeMso 를 가지면 
상태 0, M ,/) 는 자유보안속성 을 만족시 킨다. _ 


이상의 3가지 보안속성이 모두 만족되면 상태는 안전하다고 말한다. 

2. 기본보안정리 

상태 V 1=(^1, 와 상태 V 2=(^2, M 2> / 2 )이 둘 다 안전하면 상태 비로부터 상태 

에로의 이행은 안전하다고 말한다. 새로운 상태가 안전하다는것을 어떻게 검사할수 
있는가를 보기 위해 단순보안속성 을 실례 로 들자. 

다음과 같을 때에만 상태이행은 단순속성을 보존한다. 

1. 매 개 G , o , a ) e & 2 \、는 / 2 에 관한 단순보 안속성 을 만족시 킨 다 내 2 \。는 느 2 와 
公1사이의 모임차를 나타낸다). 

2. G , O, a ) ez 기가 / 2 에 관한 단순보안속성을 만족시키지 않는다면 G , O, a ) 농 
公 2 이 다. 

별표보안속성과 자유보안속성의 보존은 같은 방법으로 서술할수 있다. 이제 BLP 모 
형의 중요한 속성을 서술하자. 


기본보안정리 : 어떤 체계의 상태이동이 모두 안전하고 이 체계의 초기상태가 안 
전하면 뒤따르는 모든 상태도 어떤 입력이 일어 나든 안전하다. 


이 정리에 대한 형식적증명은 입력렬에 대한 귀납법으로 진행할수 있다. 증명은 
매 개 상태 이 행 이 보안을 보존한다는 사실우에 서 진행 되 며 특정한 BLP 보안속성 에 관계 
되지 않는다. 

A 기본보안정리는 BLP 모형에서 선택된 특정한 보안속성들의 결과물이 아니라 
상태 기 계 모형 화의 인위 적 결과이 다. 


실천에서 기 본보안정 리는 체 계의 보안을 증명하는데 쓰인다. 보안을 보존한다는것 을 
보기 위해 매 상태이행을 각각 검사하여 안전한 초기상태를 확인해야 한다. 체계가 이 
안전한 초기상태에서 기동하는 한 그것은 안전하게 유지될것 이 다. 

3. 안정 

1987년에 맥클린 ( McLean ) 이 론문 [96] 에서 다음과 같은 상태 이행을 포함한 체계를 
제 안함으로써 BLP 모형의 가치에 대한 론쟁 이 벌어 졌다. 

• 모든 주동체들을 가장 낮은 보안준위로 준위를 떨군다. 

• 모든 객체들을 가장 낮은 보안준위로 준위를 떨군다. 

• 접 근조종행 렬 A /의 모든 위 치 들에 모든 접 근권한들을 기 입한다. 

이 이행 에 의하여 도달된 상태는 BLP 의 정의에 의하여 안전하다. 이 상태 가 실제로 
안전한가? BLP 가 그렇다고 말할 때 BLP 가 보안을 정확하게 취하는가? 여기에는 두가 
지 의견이 있다. 
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• BLP 를 반대하는 경우 ( Mclean ): 직관적으로 볼 때 모든 사람이 모든것을 읽을수 있 
게 허 락하는 상태 로 이 행할수 있는 체계는 안전하지 않다. 그러므로 BLP 를 개조하 
여야 한다. 

• BLP 를 지지하는 경우 ( Bell ): 사용자들이 이와 같은 상태이행을 요구한다면 그것은 
보안모형에서 허 락되여야 한다. 그것 이 요구되지 않는다면 실현하지 않아도 된다. 
이것은 BLP 의 문제가 아니라 보안요구를 정확히 포착하는 문제이다. 

이와 같은 의견불일치의 원인으로 되는것은 접근권한을 변경시키는 상태이행이다. 
이러한 이행들은 BLP 의 일반틀거리내에서 확실히 가능하다. 그러나 모형의 창시자들은 
사실 접근권한이 고정되는 체계를 예상하고 있었다. 보안준위와 접근권한들이 절대로 변 
하지 않는 속성 을 바로 안정 ( tranquility ) 이 라고 한다. 

4. BLP 의 측면들과 한계 

BLP 는 매우 의의 있는 보안모형이다. 그것은 안전한 조작체계들의 설계에서 중요한 
역할을 하였으며 때문에 어떤 새로운 모형이 나오면 BLP 와 비교한다. 여기서는 BLP 의 
몇 가지 특징들을 보기 로 한다. 

1. 모형의 서술능력 : BLP 상태모임은 모든 현재접근조작들과 모든 현재접근허가들 
을 서술한다. 

2. 보안방책들은 보안준위들과 접근조종행렬에 기초한다. 여기에 다른 구조들을 도 
입 하기 는 쉽다. 실례 로 어 떤 주동체 가 일정한 프로그람들을 통해서 만 객 체 들을 
접근하게 하는 접근조종을 모형화하기 위해서는 sxsxo 접근조종구조가 보다 적 
합하다. 

3. 실제 적보안속성 들: BLP 에 서 는 ss - 속성， *- 속성， ds - 속성 을 가진다. 비바모형 
(제4장 5절)은 그의 보안속성들이 기본적으로 BLP 와 다르다. 

4. 특수한 풀이 : 실례 로 Multics 해석 (제5장 4절 3) 에서의 상태 이행들. 

BLP 는 접 근조종에 의하여 보안을 정 의하므로 통속적 이라고 볼수 있 다. 

그러므로 어떤 조작체 계 나 자료기지관리체계의 작용을 BLP 에 의하여 표현하는것은 
그리 어렵지 않다. 그러나 BLP 가 중요한 보안모형이기는 하지만 보안의 모든 측면을 
다 포함하지는 못한다. 그것은 다음과 같다. 

• 기밀성만을 취급하며 완정성을 취급하지 못한다. 

• 접근조종의 관리를 취급하지 못한다. 

• 잠복통로들을 포함한다. 

완정 성방책 들이 없 다는것 은 BLP 의 결 함인것 이 아니 라 BLP 의 특징 이 다. BLP 는 접 
근권한들을 수정하는 방책 들을 가지 지 않는다. 사실 상 BLP 의 목적 은 본래 보안준위 의 
변화가 없는 체계들이였다. 

잠복통로란 보안기 구에 의해 조종되 지 않는 정 보흐름을 말한다 [150]. 만일 낮은 준 
위주동체들이 높은 준위객체에 대해서 이름들은 볼수 있고 내용에 대해 접근할수 없다면 
이때 객체이름들은 분명히 잠복통로이 다. BLP 에서는 접근조종기구 그자체를 잠복통로를 
구성하는데 리 용할수 있 다. 다음과 같이 정 보는 높은 보안준위 로부터 낮은 보안준위 에 로 
흐를수 있다. 

• 낮은 준위주동체가 자기의 준위에 dummy.obj 라는 객체를 창조한다. 
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• 그의 높은 준위공범자(트로이목마)가 dummy.obj 의 보안준위를 높은 준위로 올려 
놓거 나 또는 그대 로 둔다. 

• 후에 낮은 준위주동체는 dummy.obj 를 읽으러 한다. 이 요구가 접수되는가 거부되 
는가에 따라 높은 준위주동체의 작용을 알수 있다. 즉 일련의 정보가 높은데로부터 
낮은데로 흐른것이다. 

이처럼 어떤 조작이 허락되지 않는 주동체에게 접근하려고 하면 일정한 정보흐름이 
형성된다. 이것은 자료기지보안에서 흥미 있는 결과를 준다 ( polyinstantiation - 다중구체 
례제시). 이 런 류형의 문제를 피 하기 위하여 하나의 객체 가 서 로 다른 보안준위 에서 서 
로 다른 값을 가지게 할수 있다. 

A 때때 로 객체의 내용만을 숨기는것으로는 안심할수 없다. 그의 존재까지도 
ᅭ 숨겨야 할수 있다. 


제3절. 해리슨-투조-울만모형 

벨-라파둘라모형은 접근권한들을 변경시키거나 주동체와 객체들을 창조하거나 삭계 
하는 방책 들을 표현할수 없 다. 해 리슨-루조-울만 ( Harrison - Ruzzo - Ullman ) 모형 ( HRU ) 
은 이 문제를 취급하는 권한부여체 계를 정의한다 [64]. HRU 모형을 서술하기 위 해서는 
다음과 갈은 모임들이 요구된다. 

• 주동체들의 모임 S ， 

• 객체들의 모임 0, 

• 접근권한들의 모임 R , 

• 접근행렬 M ={ Mso ) s & S , o & O ', 여기서 항목 Mso 는 주동체 가 객체 o 에 대해서 가 
지는 권한들을 나타내는 요의 부분모임 이 다. 

주동체 모임，객 체 모임，접 근행 렬 을 처 리 하기 위한 6 가지 기 본조작들이 있 다. 

enter r into Mso 
delete r from Mso 
create subject s 
delete subject s 
create object o 
delete object o 

HRU 모형에서 지령들은 다음과 갈은 형식을 가진다. 

Command c(xi, 均， … ， Xk) 
if r \ in Ms \, o \ and 
if r 2 in Ms 2 ,o 2 and 


if r m in Ms m , o m and 
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then 


op l 
opi 


op n 

end 

첨 수들인 Si ，•••, S m , 과 OI, •••, O m 은 파라메 터 목록 (XI, •••, 님에 나타나는 주동체 
와 객체들이다. 조건들은 특별한 접근권한이 있는가를 검사한다. 조건들의 목록은 비여 
있을수도 있다. 만일 모든 조건이 맞으면 기본조작들을 순차적으로 실행한다. 매개 지령 
은 적어도 하나의 조작을 포함한다. 실례로 지령 


command create_ftle ( s . f ) 
create / 

enter 으 —into M sf 
enter r into M sf 
enter w into M cf 
end 

은 주동체；?가 새로운 파일 /를 창조하기 위해서 리용하는데 s 는 그 파일의 소유자(접근 
권한 으)로서 그 파일에 대한 읽기，쓰기허락을 가진다(접근권한 프와 w ). 파일 /의 소 
유자 s 는 다음과 갈은 지 령 으로 읽 기권한을 다른 주동체 Z 5 에 넘 겨 준다. 

command grant_read ( s , P ， f ) 
if o in M sf 
then enter Mn M pf 
end 

지령의 효과는 접근행렬의 변화로서 기록된다. 그러므로 접근행렬은 체계의 상태를 
서술한다. 변경된 접근조종행렬은 로 표시된다. HRU 모형은 접근권한들의 할당을 규 

제하는 보안방책을 표현할수 있다. 체계가 이러한 방책에 따른다는것을 확인하기 위해 바 
라지 않는 접근권한들을 허락하는 방법이 존재하지 않는가를 검사하여야 한다. 


정의 : 만일 접근행렬에 포함되지 않은 권한 r 를 그 행렬의 어떤 위치에 첨가하는 지 
령 c 가 존재 한다면 상태 례하면 접 근행 렬 사은 권한 r 를 루설 한다고 말한다. 보다 형 
식화하면 s 와 o 가 존재하여 r 속이 고 이 다. _ 


정의 : 만일 r 를 루설하는 어떤 상태에로 M 을 넘길수 있는 지령렬이 존재하지 않으 
면 그 상태 례하면 접 근행 렬 사은 권한 r 에 관하여 안전하다고 말한다. 


HRU 모형의 보안방책을 확인하는것은 이와 같이 안전속성들을 확인하는것으로 된 
다. 그러나 이제 자신이 불리한 위치에 있다는것을 알게 될것이다. 
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정리: 접근행렬 A /과 권한 r 가 주어 졌을 때 권한 Hi 관하여 사의 안전성을 증명하는 
것 은 결정할수 없는 문제 이 다. 


이처 럼 안전성문제를 완전한 일반성을 띠도록 할수는 없으므로 모형 이 성공하도록 
제한하여야 한다. 실례로 하나의 조작만을 포함하는 지령들 즉 단일조작지령들만을 허락 
하게 할수 있다. 


정리: 단일조작권한부여체계와 접근행렬 M 그리고 권한 r 가 주어 졌을 때 권한 r 에 
관하여 사의 안전성 을 증명하는것 은 결정 가능하다. 


여기서 안전성문제를 또다시 결정불가능으로 만들기 위해서는 한개 지령당 두개이상 
의 조작을 허 락하면 된다. 안전성문제 를 다루기 쉽 게 할수 있는 또 하나의 방법 은 권한 
부여체 계의 크기 를 제 한하는것 이 다. 

| 정리: 주동체의 수가 유한이라면 임의의 권한부여체계의 안전성문제는 결정가능하다. | 

안전성문제의 결정가능성에 대한 이러한 결과들은 3번째 설계원리의 륜곽을 보여 준 
다. 만일 복잡한 모형들로만 묘사될수 있는 복잡한 체계들을 설계한다면 보안성을 증명 
하기 어 렵게 된다. 최 악의 경우(결정불가능성 ) 모든 경우들에 대 해서 보안성 을 증명하는 
만능적인 알고리 듬은 존재하지 않는다. 만일 증명 가능한 보안속성 들을 바란다면 보안모 
형의 복잡성을 제한하는것 이 좋을것 이 다. 그렇게 하면 그 모형 이 요구하는 모든 보안속 
성들을 묘사할수 없을수도 있지만《보안》을 증명하는 효과적인 방법을 얻을수는 있다 . 
다시말하여 간단한 모형으로 충분히 묘사될수 있는 단순한 체계를 설계하는것이 좋다. 
체계와 모형사이에 지나치게 넓은 간격이 있으면 그 모형에서의 보안의 증명을 담보하기 
는 힘들다. 

A 보안속성들과 서술가능한 체계의 두가지 측면에서 볼 때 보다 표현적인 보 
안모형일수록 보안속성들을 증명하기가 더 어렵 다. 


제4절.《장성》모령 

브레 워 ( Brewer ) 와 나쉬 ( Nash ) 에 의 해 제 안된《 장성 》 (Chinese wall ) 모형 은 상담 
업무에서 분석자가 서로 다른 의뢰자들(회사들)을 취급할 때 리해관계의 충돌이 일어 나 
지 않도록 접근규칙들을 모형화한다 E 3]. 흔히 충돌은 의뢰자들이 같은 시장에서 직접적 
인 경쟁자들이거나 또는 회사들의 소유권문제로 인하여 일어 난다. 

분석자는 다음의 보안방책을 준수하여야 한다. 


규칙 : 리해관계의 충돌을 일으키는 정보흐름이 없어야 한다. 


이 방책을 처 리하려면 벨-라파둘라모형의 상태모임을 이 방략에 맞도록 일부 개작해 
야 한다. 

• 회 사들의 모임 을 C 로 표시한다. 

• 객 체 들의 모임 0는 단일회 사와 관련된 정 보항목이 다. 분명 히 분석 자는 주동체이며 
"는 주동체들의 모임 이다. 
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• 같은 회사와 관련된 모든 객체들은 회사자료모임 에 수집된다. 함수 y . •워는 매 객 
체의 회사자료모임을 준다. 

• 리해관계클라스들의 충돌은 회사들이 경쟁관계에 있다는것을 나타낸다. 

x :0~^ P ( C ) 는 매 객체 에 대 하여 리 해 관계클라스의 중돌을 준다. 즉 객체의 내 용들에 
대하여 학습하지 말아야 할 모든 회사들의 모임을 준다. 

• 객체 o 의 보안표식은 Oc ( o )， Xo )) 쌍이 다. 

• 소독된 ( sanitised ) 정보는 민감한 상세들을 없앴으므로 접근제 한을 받지 않는다. 소 
독된 객 체 o 에 대 하여 x ( o )=0 를 설 정한다. 

리해관계의 충돌은 최근에 접근된 객체들뿐아니 라 과거에 접근된 객체들로부터도 일 
어 난다. 그러므로 주동체 들의 행위리 력을 기록하는 수단이 필요하다.이를 위하여 론리 
적인 ( Boolean ) SxO 행렬 N 을 도입한다. 여기서 

Ns o= f 참: 주동체 5 가 객 체 0에 접 근하였 다면 
’ '■ 거짓 : 주동체 s 가 객체 o 에 접근하지 않았다면 

만일 모든 와 모든 oe 公에 대 하여 A 、 o = 거 짓 ( false ) 으로 설정 하면 안전한 초기 
상태 로 된다. 

첫번째 보안방책은 직접적인 정보흐름을 취급한다. 여기서는 주동체가 리해관계의 
충돌에 로출되는것을 막아야 한다. 그러므로 접근은 요구된 객체가 다음에 속할 때에만 
허락된다. 

• 이미 사용자가 가지 고 있는 회사자료모임 

• 리해관계클라스의 완전히 서로 다른 충돌 

형식적으로 이 ss - 속성을 다음과 같이 표현할수 있다. 


SS - 속성 : Ns , O ' = 참 ( true ) 을 가지는 모든 객 체 o ' 에 대 하여 y { o ) ^ x ( o f ) 이거 나 
y ( o )= y ( o , ) 일 때에만 주동체 $는 객체 o 에 접근할수 있다. _ 


이 속성은 스스로는 서술된 보안방책을 충분히 실현할수 없다. 직접정보흐름은 여전 
히 가능하다. 다음실례를 보자. 두 경쟁자인 회사_쇼와 회사 _ B 는 같은 은행 에 자기들의 
구좌(등록자리 ) 를 가지 고 있 다. 분석 자 _ A 는 회 사_쇼와 은행 업 무를 취 급하면서 회 사 _ A 에 
대 한 중요한 정 보로써 은행문서 를 갱 신한다. 한편 회 사_8와 은행 업 무를 취 급하는 분석 
자 _ B 가 경쟁 자의 문서 에 대 한 정보에 접근한다고 하자. 이때 쓰기접근을 통제 하기 위해 
속성 을 도입한다. 


*- 속성 : 주동체《가 y { o)=yW ) 이고 x ( o ' ) 轉껴인 객체 o ' 에 대한 읽기접근을 하지 
않을 때에만 주동체 $에게 객체 o 에 대한 쓰기접근이 허락된다. 


객체에 대한 쓰기접근은 어떤 다른 객체도 읽을수 없을 때에만 허락된다(그 객체들 
은서로 다른 회사자료모임의 그리고 비공개정보를 포함하는 객체들이다). 접근권한들이 
항상 정적 이 라고 가정 하는 BLP 와 대조적 으로 매 상태 이행 에서 접근권한들을 다시 검 토 
해 야 하는 모형을 보기 로 한다. 
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제 5 절. 비바모형 


비 바 ( Biba ) 모형 [19] 은 BLP 와 매우 류사한 상태기계모형을 리용하여 주동체의 객 
체들에 대한 접근의 의미에서 완정성을 취급한다. 완정성준위의 살창 ( L , 幻이 있다. 
함수 兵생ᅰ과 / 0 .•으 L 은 주동체 들과 객 체 들에 완정성 준위 를 할당한다. 이 준위 들은 완 
정성방책을 표현하는 기초를 이룬다. 여기서는 높은 준위실체를《깨끗한》것으로，낮은 
준위실체를《오염된》것으로 대응시킨다. 완정성살창에서 정보는 오직 아래방향으로만 
흐를수 있 다. BLP 와 달리 단일 한 높은 준위완정 성방책 은 없 다. 

대신에 변화된 방법들을 보게 된다. 일부는 지어 서로 모순되는 방책들을 만들어 내 
기도 한다. 

1. 정적완정성준우 I 

BLP 의 완정속성을 본따서 완정성준위가 변하지 않는 방책들을 서술할수 있다. 다음 
의 두가지 완정성속성들은 2중의 위 임된 BLP 방책들이다. 

• 단순완정 성 속성 : 만일 주동체 S 가 객 체 o 를 수정 (변경 ) 할수 있 다면 fs ( s ) < fo ( o ) a ] 
다 (No write - up ). 

• 완정 성 *_ 속성 : 만일 주동체 s 가 객 체 o 를 읽 을수(관찰) 있 다면 s 는 fo ( p ) 인 

때에만 일부 다른 객체 p 에 대한 쓰기권한을 가질수 있다. 

이 두가지 방책 들은 깨 끗한 주동체 들과 객 체 들이 오염 된 정 보에 의해 오염 되 는것 을 
막는다. 

2. 동적완정성준우 I 

《장성》모형과 류사하게 다음의 두가지 완정성속성들은 어떤 실체 가 낮은준위정보 
와 접촉하였다면 그의 완정성준위를 자동적 으로 조정 한다. 

• 주동체 낮은내 비 침 무늬 속성 (Subject Low watermark property ) : 주동체 s 는 임 의 
의 완정 성 준위 에 서 어 떤 객 체 o 를 읽 기 (관찰) 할수 있 다. 주동체 의 새 로운 완정 성 준 
위는 inf (/ Ks )， fo ( o )) 이 다. 여기서 / s ( s ) 와 / o ( o ) 는 조작전의 완정성준위들이다. 

• 객 체 낮은내 비 침무늬속성 (Object low watermark property ) : 주동체 s 는 임의 의 
완정성준위 에서 어떤 객체 o 를 수정 (변경)할수 있다. 그 객체의 새로운 완정성준위 
는 inf (/ Hs )，/ o ( o )) 이 다. 여기서 / s ( s ) 와 / o ( o ) 는 조작전의 완정성준위들이다. 

/ s ( s ) 와 / o ( o ) 의 가장 큰 아래한계인 완정성준위 / o ( o )) 는 여기서 완정성 

준위살창을 취급하므로 잘 정의된다. 
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3. 호출들 위한 방책 


비바모형은 접근조작인 호출 ( invoke ) 을 포함하도록 확장할수 있다. 어떤 한 주동체 
가 다른 주동체 례하면 쏘프트웨어도구를 어떤 객체 에 접근하도록 호출할수 있다. 이것 
은 중간층준위들에서 접근조종을 정식화하는 방향에 로의 첫 걸음이 다. 어떤 종류의 방책 
들이 호출을 통제 하여 야 하는가? 호출이 위 임 완정 성방책 들을 우회하지 못한다는것 을 확 
인하기를 원하는가? 다음속성을 추가할수 있다. 

• 호출속성 : fs ( s 2 ) <於(하)인 때에만 주동체 si 는 주동체 하을 호출할수 있다. 

주동체들은 보다 낮은 준위에 있는 도구 ( tool ) 들만을 호출하는것이 허 락된다. 한편 
오염된 주동체 가 깨 끗한 객체 에 접 근하기 위해 깨 끗한 도구를 리 용할수 있고 깨 끗한 객 
체를 오염시킬수 있다. 

또한 이를 위해 틀림 없이 도구들을 리용하려 할수 있다. 오염된 주동체들이 깨끗한 
어떤 객체에 접근해야 하는데 그러자면 오직 깨끗한 도구를 리용하여야만 한다. 이 도구 
는 그 객 체 가 깨 끗한가를 확인 하기 위 해 수많은 일 치 성 검 사를 수행 할수 있 다. 이 경 우에 
깨끗한 주동체 가 오염된 도구들을 리용하는것을 바라지 않을것 이며 다음속성을 채용할수 
있 다. 

• 고리속성 : 주동체 하는 모든 완정성준위들에서 객체들을 읽을수 있다. 그것은 다만 
fo ( o ) </s(S) 인 객체 O 들을 수정 할수 있으며 fs Gl ) </s(S2) 인 때에만 주동체 S2 을 
호출할수 있다. 

분명히 마지막 두개 속성들은 서로 모순되며 보다 적절한 결심을 하기 위해서는 응 
용을 보아야 한다. 


제6절. 클라크-월슨모령 


클라크 ( Clark ) 와 월슨 ( Wilson ) 은 상업적응용에서의 보안요구들을 취급한다 [3 幻. 그 
들은 이 요구들이 주로 자료완정 성 례하면 자료의 권한이 없는 수정，협 잡，오유 등을 
막기 위한것이라고 주장한다. 이것은 완정성에 대한 보다 넓은 정의이다. 실제로 그들은 
보안의 범 위 밖인 동시 성 조종문제 들까지 취 급한다. 완정 성 요구들은 다음의 두개 부분으로 
나누어 진다. 

• 내부일관성: 체계의 내부상태의 속성에 기인하며 계산체계에 의하여 실행될수 있다. 

• 외부일관성 : 실세계에 대한 체계의 내부상태의 관계에 기인하며 계산체계외부의 수 
단 례 하면 검 열 ( auditing ) 에 의 하여 시 행 되 여 야 한다. 

완정성을 요구하는 일반적기구들은 다음과 갈다. 
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• 잘 형성된 거 래 ( well-formed transaction ) : 자료항목들은 특정 한 프로그람들의 모 
임에 의해서만 취급될수 있다. 사용자들은 자료항목들보다도 프로그람들에 접근한다. 

• 임무의 분담: 사용자들은 자료를 취급하기 위하여 협력하여 야 하며 보안체계를 파악 
하기 위해 협의하여야 한다. 

임무의 분담은 안전체계의 조작에서 가끔 나타난다. 서로 다른 사람들이 체계를 개 
발，시험，인증을 하고 조작할것을 요구하는것은 응당한것이다. 다시말하여 조작과정에 
사람들은 서로 거래를 위하여 협력해야 한다. 

콜라크-월슨 모형은 프로그람을 주동체와 객체 (자료항목)사이의 중간조종층으로 리 
용한다. 주동체들은 정해 진 프로그람들을 실행할 권한을 가진다. 한편 특정한 프로그람 
들을 통해서 만 자료항목들을 호출할수 있 다. 추상자료형 [39] 과 객 체지향프로그람작성 에 
서처럼 특정한 형태의 자료에 접근할수 있는 프로그람들의 모임을 정의하는것은 쏘프트 
웨 어공학에서 일반적 인 수법 이 다. 이것 이 안전체계 를 구성하는데서는 필수적 인것 으로 리 
용될수 있다. 클라크와 월슨이 쓴《보안준위대신에 프로그람으로써 주동체와 객체들을 
분류하기》는 BLP 의 효과에 대 한 증언이 다. 클라크-월슨 모형 에서 완정성 은 

어떤 자료항목에 접근할수 있는 프로그람을 실행할 권한을 가지는것 

을 의 미한다. 콜라크와 월슨은 군사적 및 상업 적 보안요구들사이 차이 를 강조하고 있 다. 
이 두 세계에서 기밀성과 완정성의 상대적중요성 이 동일한것은 아니 다. 군사적응용에서 
는 완정성요구를 가진다면 상업적응용에서는 기밀성요구를 가질것이다. 이 책의 목적에 
서 볼 때는 더 많은 상대적차이 가 있다. 콜라크-월슨모형 에서 접근조작들은 복잡한 응용 
지 향의 처 리 들을 수행하는 프로그람들이다. BLP 에 서 의 접 근조작들은 조작체 계 에 적 합한 
단순하고 일 반적 인것 들이 다. 여 기 서 는 일 반용조작체 계 ( BLP ) 와 응용지 향 IT 체 계 (콜라크_ 
월슨)사이의 차이를 보기로 한다. 총체적으로 클라크-월슨모형에서는 다음과 같은 점들 
을 고려한다. 

1. 주동체들은 식별되여야 하며 권한을 가져야 한다. 

2. 객체들은 제한된 프로그람들의 모임에 의해서만 조작될수 있다. 

3. 주동체 들은 제 한된 프로그람들이 모임 만을 실행할수 있 다. 

4. 적절한 검열기록이 보존되여야 한다. 

5. 체계가 원만히 작업한다는것을 확인하여야 한다. 

이 모형 의 형 식 화에 서 보안방책 에 의해 통제 되 는 자료항목들을 속박된 자료항목 
( CDIS ) 이라고 한다. 체계에로의 입력들은 속박되지 않는 자료항목들 ( UDIS ) 로서 취해진 
다. UDIS 의 CDIS 에로의 변환은 체계에 있는 보안기구가 단독으로 조종할수 없는 체계 
의 림계부분이다. CDIS 는 오직 변환수속들 ( TPS ) 에 의해서만 취급될수 있다. 상태의 완 
정성 은 완정성확인수속들 ( IVS ) 에 의 해서 검사된다. 

보안속성들은 다섯가지 확인 ( certification ) 규칙들을 통하여 정의된 한 측면이며 보 
안방책 이 응용요구들에 부합되게 하는 검사들을 제 안한다. 
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1. IVP 들은 그 IVP 가 실행될 때 모든 CDI 들이 유효한 상태에 있다는것을 담보하 
여 야 한다. 

2. TP 들이 유효하다는것을 확인하여 야 한다. 즉 유효한 CDIs 들은 유효한 C 이들 
로 변환되 여 야 한다. 매 개 TP 는 특정한 이이들의 모임 에 접 근하기 위해 확인 
된 다. 

3. 접근규칙들은 임무요구들의 임의의 분리를 만족시켜야 한다. 

4. 모든 고모들은 추가만이 가능한 기록에 써 야 한다. 

5. 입력으로서 UID 를 가지는 임의의 TP 는 UID 를 CDI 로 변환하거나 또는 UDI 를 
거 부하고 어 떤 변환도 수행하지 않아야 한다. 

다음의 4가지 시 행 규칙 들은 보안방책 을 실시 하여 야 할 콤퓨터 체 계 내 의 보안기 구들을 
서술한다. 이 규칙들은 BLP 에서의 자유접근조종과 일부 류사성을 가진다. 

1. 체계는 TP 가 접근하도록 확인되는 ◦이들을 주는 기 입항목들 ( TPi : CDIa , 
CDIb , …)의 목록을 보존하고 보호하여야 한다. 

2. 체계는 사용자들이 실행할수 있는 TP 들을 명시 하는 기 입항목들 ( UserlD , TPi ： 
CDIa , VDIb , …)의 목록을 보존하고 보호하여 야 한다. 

3. 체 계는 TP 를 실행할것 을 요구하는 매 개 사용자를 인증하여 야 한다. 

4. 어 떤 TP 를 위한 접 근규칙 을 확인 할수 있는 주동체 만이 목록에 서 해 당한 기 입 
항목을 수정할수 있 다. 이 주동체 는 그 TP 에 대 한 실행 권한을 가지 지 말아야 
한다. 

끝으로 콜라크-월슨모형 은 어 떤 특정 한 보안방책 의 모형 이라기 보다 보안방책 들을 위 
한 골격 과 안내 (《 모형》) 이 라는것 을 강조한다. 


제7절. 정보흐■모형 

벨-라파둘라의 모형에서 정보는 잠복통로를 통하여 높은 보안준위로부터 낮은 보안 
준위 에 로 흐를수 있 다. 정 보흐름모형 은 BLP 에 의해 모형 화된 접 근조작들을 통한 직 접 정 
보흐름뿐아니라 임의의 종류의 정보흐름을 모형화한다. 만일 : y 를 고찰함으로써 x 에 대하 
여 더 알수 있다면 상태 이행은 객체 ^로부터 객체 '에 로의 정 보흐름을 일으킨다. 이미 x 
에 대해 알고 있다면 ；^로부터 아무런 정보도 흐를수 없다. 이로부터 다음과 같이 구분할 
수 있다. 

• 명시적인 정보흐름: 할당 y：=x 후에 : y 를 관찰하면 ; c 의 값을 알수 있다. 

• 암시적 인 정보흐름: 조건문 if x =0 then y：=l 후에 y 를 관찰하면 할당 ： y := l 이 실행 
되지 않았다 해도 ;(:에 대해서 무엇인가 알수 있다. 실례로 만일 : y =2 이면 #0이라는 
것을 알수 있다. 
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정보흐름에 대한 엄밀하고 정량적인 정의는 정보리론에서 준다. X 로부터 y 에로의 정 
보흐름은 주어 진 y 의 값에 대한 ； C 의 애매성 (조건적 엔트로피)의 변화에 의해서 측정된다. 
정보흐름모형의 요소들은 다음과 같다. 

• 보안표식들의 살창 ( L , < )， 

• 표식 불은 객체들의 모임， 

• 보안방책 : 표식 다를 가진 객체로부터 표식 이을 가진 객체에로의 정보흐름은 a < 
c 2 인 때 에만 허 락된다. 이 규칙 에 위 반되는 어떤 정보흐름도 금지한다. 

체계는 위법인 정보흐름이 없을 때 안전하다고 한다. 이러한 모형의 우점은 그것이 
모든 종류의 정보흐름을 포괄한다는것 이 다. 결함은 안전체계를 설계하기가 보다 어 려워 
진다는것이다. 주어 진 체계가 정보흐름모형에서 안전한가 아닌가를 검사하는것은 비결 
정 성문제 라는것 이 알려 졌 다. 

나아가서 정보흐름방책들의 정적 및 동적시행을 구분하여야 한다. 첫째 경우에 체계 
(프로그람)는 정적객체로 고찰된다. 둘째 경우는 실행중의 체계를 고찰한다. 이로부터 
우리 는 일부 정 보흐름이 리 론적 으로는 가능할수 있으나(따라서 정적해석 에서 검출되 여 야 
한다. ) 실행시 에는 절대 로 일 어 나지 않을것 이 라는것을 알수 있다. 그러므로 정적해석은 
너 무 제 한적 인 체 계 들을 만들어 낼수 있 다. 

비 간섭 모형 ( Non-interference model ) 들은 정 보흐름모형 들을 대 신할수 있 다. 그것 들 
은 주동체 가 체계의 상태 에 대 하여 알고 있는것을 서술하기 위한 다른 수학적표현을 준 
다. 주동체 하의 작용이 선이 체계를 보는데 아무런 영향을 주지 않으면 주동체 하은 주 
동체 외과 간섭 하지 않는다. 현재 정 보흐름모형 과 비간섭 모형 은 연구단계 에 있으며 안전 
체계의 설계를 위 한 실천적방법론의 기초이 다. 


이 장의 문헌안내 

보안모형들은 흔히 보안방책들의 형식화로 간주된다. 이 정의는 보안방책으로 무엇 
을 하려 하는가를 안다고 가정한다. 보안방책은 기업의 보안요구들을 받아 들이거나 또 
는 보안을 구축하기 위한 단계 들을 서 술할수 있 다. 보안방책 이 라는 용어 의 여 러 가지 의 
미 에 대 한 론의 는 [14 기 에 주어 진다. 상업 적 조직 들에 서 의 보안방책 을 정 의하는 현수준은 
[143] 에 서술되며 위험분석의 실천적측면들은 [31] 에 주어 진다. 

보안모형 들에 대 한 10년간의 기 사들을 따로 묶어 서 [84] 와 [98] 에 준다. 벨-라파 
둘라모형에 대한 초기론문들이 최근 Journal of computer security [12] 에 재출판되 
였다. 벨-라파둘라모형에서 접근권한을 변경시키는 방책들의 골격은 [9 기에서 론의된 
다. 연구문헌들은 전부 BLP 의 MLS 방책들을 여전히 시 행하면서 BLP 모형의 범위를 
넓히는 기 고작품들이 다. 콜라크와 월슨에 의한 초기 론문은 많이 요구되는 문헌이 다 
[32]. 자격 을 리용하는 클라크-월슨모형 의 실현은 [75] 에 서 술된다. 콜라크-월슨모형 
을 실현하기 위해 리용할수 있는 위임의 완정성조종을 제공하는 비바모형의 확장이 
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[87] 에 주어 진 다. HRU 모형 과 정보흐름모형 의 결 정가능성 속성 들의 상세한 정 의，증 
명，정 리들과 함께 [3 的 에 주어 진다. 비간섭성 모형들에 대 해서는 문헌 [58] 을 찾아 보 
시오 . 

련습문제 

1. 기 본접 근방식 변경 ( alter ) 과 관찰 ( observe ) 을 리 용하여 *- 속성 을 서술하시 오. 

2. 벨과 맥클린의 론쟁에 대한 자신의 의견을 소론문으로 쓰시오. 

3. 벨-라파둘라는 접근권한을 변경하는 방책을 표현하지 못한다. 

당신은 어떤 방책을 제안하는가? 

4. 《장성》모형을 벨-라파둘라골격 에 맞출수 있는가? 

5. 《 장성》모형 에서 속성 은 현재 읽 기접 근에 만 의거하는가 아니 면 임의의 과거 의 읽 
기 접 근에 의거해 야 하는가? 

6. 비바모형 은 여 러 가지 완정 성방책 들을 포함한다. 다음것 들이 합당한 응용령역 들의 실 
례를 드시오. 

• 정적완정성표식을 가지는 방책， 

• 동적으로 변하는 완정성표식을 가지는 방책， 

• 고리속성. 

7. 벨-라파둘라와 비바를 기 밀성 과 완정 성 을 동시 에 모형 화하는데 리 용할수 있는가? 

8. 콜라크-월슨시행규칙들을 서술하는 형식적모형을 만드시오. 

9. 30년후에 해제될 문서 들을 위한 보안모형 을 개 발하시 오. 

10. 환자기록들과 처방들에 대한 접근을 조종하는 의학정보체계에서 

• 의사들은 환자기록들과 처 방들을 읽거 나 쓸수 있다. 

• 간호원들은 처방들을 읽거나 쓸수 있지만 환자기록의 내용에 대해서는 아무것도 
학습하지 말아야 한다. 

환자기록으로부터 처방에로의 정보흐름을 막는 살창모형에 이 방책을 어떻게 적용할 
수 있는가? 당신의 의견에는 어느 보안모형이 이 방책에 가장 적합한가? 
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제 5 장. 보안핵심 


앞에서 본 두개의 장에서는 접근조종방책들을 세우기 위한 여 러가지 방안들을 소개 
하고 다음에 그 응용을 연구하며 가장 적절한 접근조종구조들과 보안모형들을 결정하였 
다. 선택한 보호기구들을 어떻게 실현하겠는가? 앞에서 본 계층화된 체계모형의 구조내 
에서 다음의 두가지 질문에 대 답하여 야 한다. 

• 접근조종은 어디에 위치하는가? 

• 선택한 방안이 추가적인 보호요구들을 고려하게 되여 있는가? 

이 장은 앞에서 본 모형에서 맨 아래 두개 층들에서의 보안기구들을 고찰한다. 


목적 

• 낮은 체계층에서 보안을 실시하는 리유를 설명한다. 

• 낮은 체계층들에서 쓸수 있는 보안기구들의 륜곽을 엄는다. 

• 두개의 중요한 보안원시조작들로서 상태들과 조종된 호출 ( Invocation ) 을 도입한다. 

• 보안모형들이 보안핵심을 해석하는데 어떻게 리용될수 있는가를 본다. 


제1절. 리론적기초 

낮은 체 계 층들중의 하나에 보안을 설 치하는데 는 두가지 리 유가 있 다(그림 5-1). 임 
의의 주어 진 층에 있는 보안기구는 공격자가 그보다 낮은 층에 있으면 효과가 없다. 따 
라서 체 계의 보안을 평 가하자면 자기의 보안기구를 우회할수 없다는것을 담보하여 야 한 
다. 체계가 복잡할수록 이 검사는 더 어려워 진다. 체계의 핵심부에서 철저한 해석을 할 
수 있는 적 절 하고도 단순한 구조를 찾아야 한다. 이 론거 가 핵 심 부에 보안을 배 치하는 
첫 번째 리 유이다. 

높은 준위의 담보를 위해 보안을 평가할수 있다. 

극소형 처 리 기 설계 는 대 부분의 사용자들에 게 가장 유용한 조작들의 모임 을 제 정 하는 매 우 
중요한 과학이 다. 일반조작들의 옳은 선택과 효과적 인 실현은 전체적 인 성능을 결정한다. 
보안을 실현하는데서도 같은 방법을 택할수 있다. 일반보안기구들을 결정하고 그것들을 
체 계의 핵심부에 넣는다. 이것 이 핵심부에 보안을 설치 하는 두번째 리유이다. 
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응용 
봉사 
조작체계 
조작체계핵심부 
하드웨 어 


그림 5-1 . IT 체계의 층 


특정하고 
복잡하며 
사용자에게 주목 


일 반적 이 고 
간단하며 
자료에 주목 


우새 

기계지 향 


그림 5-2 . 사람-기계 척도에서 보안핵심의 위 치 

보안기구를 체계의 핵심부에 넣는것은 보안으로 인한 간접소비를 감소시킨다. 

이 장은 Motorola 68000과 Intel 80386/486을 실례로 하여 극소형처리기들의 보안 
특징들을 보고 Multics 조작체계의 참조감시기를 고찰한다. 그것은 사람-기계척도에서 기 
계쪽에 치우쳐 배치된 보안기구들을 포함한다(그림 5-2). 이 책의 뒤부분에서 매 층들을 
따라 가면서 조작체 계들에 의해서 제 공된 보안기구들(제 6장과 제 7장)과 자료기지관리 
체 계 (제 14장) 와 같은 쏘프트웨 어 봉사들 ( middleware ) 에 의 해 제 공된 보안기 구들의 실 례 
들을 제 시 한다. 


제2절. 조작체계의 완정성 

콤퓨터보안에는 세가지 기본개념이 있는데 그것들은 서로 밀접히 련관되여 있어 혼 
돈하기 쉽다. 그러 나 따로따로 분리할수는 있다. 여 기서는 오렌지 부크 [112] 어 휘집 을 참 
고로 하여 정 의한다. 
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• 참조감시 기 (Reference Monitor ) : 주동체 의 객 체 에 로의 모든 접 근들을 중개 하는 추 
상기계를 가리키는 접근조종개 념 

• 핵 심 부에 서 의 보안 : 참조감시 기 개 념 을 실 현 하는 신용계 산기 지 인 하드웨 어，점 웨 어， 
쏘프트웨 어요소들，모든 접근들을 중개 하여 야 하며 수정을 가할수 없고 정 확성을 담 
보할수 있어야 한다. 

• 신용계산기지 (Trusted computing base ) ( TCB ) : 를퓨터체계 내의 보호기구들의 총 
체 (하드웨어，점웨어， 쏘프트웨 어를 포함하는) 즉 이것들의 조합은 보안방책실현을 
책임진다. TCB 는 어떤 제품이나 체계우에서 단일한 보안방책을 함께 시행하는 하 
나 또는 그이 상의 요소들로 구성된다. 보안방책 을 정 확히 수행 하기 위한 TCB 의 능 
력 은 다만 그 TCB 내 에 있는 기 구들과 보안방책 과 관련되 는 파라메터 (례하면 사용 
자의 기밀취급허가)들에 대한 체계관리성원들의 정확한 입력에만 의존한다. 

참조감시기 는 하나의 추상적 인 개 념 이며 보안핵 심 은 그의 실현이 다. TCB 는 다른 
보안기구들중에서 보안핵심을 포함한다. 그림 5-1 의 두개의 바닥층에 있는 보안기구들 
은 대 략적으로 보안핵심에 대응된다. 조작체계의 보안핵심을 될수록 단순하게 하는것은 
안전한 조작체계를 설계하고 평가하는데서 본질적의의를 가진다. 일부 책들에서 TCB 들 
을 BLP 류사방책 을 시 행하는 보안핵 심 들과 거 의 동의 어 로 취 급하고 있는데 정 의 로부터 
알수 있는바와 같이 이것은 오렌지부크저자의 의도와는 맞지 않는다. 

보안기구들을 체 계의 핵심부에 넣 는것 을 지지하는 방향으로 진행된 모든 론의 들은 
우리를 사람-기계척도에서 기계쪽끝으로 치우치게 하였다. 그 결과 다음과 갈은것을 예 
측할수 있다. 

보안핵 심 에 의하여 만들어 진 접 근조종결심 은 응용에 의하여 만들어 진 접 근조종결 
심 과 많이 차이난다. 

이제 보안핵심에 포함될 보안기구들을 일반용어로 나타내 보자. 모든 접근조종방책 
들을 시 행할수 있는 조작체 계 를 가지 고 있 다고 가정 하자. 조작체 계 가 예 견대 로 동작하는 
한 자원들에 대한 권한이 없는 접근은 불가능하다. 물론 이것은 바로 공격자에게는 단서 
로 된다. 공격 자는 보호기 구들을 우회하기 위 해 조작체 계 를 수정하여 보안조종이 불가능 
하게 하려고 할수 있다. 본래는 기밀성과 관련된 문제이지만 완정성문제에 직면하게 된 
다. 조작체 계는 접 근요구들의 조정 자일뿐아니 라 그자체 가 접 근조종의 대상이 다. 새 로운 
보안방책은 다음과 같다. 


규칙 : 사용자들은 조작체계를 수정 할수 없어 야 한다. 


이것은 응당 강력하고 효과적인 지원을 받아야 할 일반적인 보안방책이다. 체계를 
안전하게 하기 위해 다음의 두가지 상반되 는 요구를 처 리하여 야 한다. 

• 사용자는 조작체계를 리용(호출)할수 있어 야 한다. 

• 사용자는 조작체계를 잘못 리용하지 말아야 한다. 
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이 목적들을 달성하기 위하여 일반적으로 리용되는 두가지 중요한 개념들은 상태정 
보와 조종된 호출(또한 제한된 특권이라고도 한다.)이다. 이 개념들은 응용쏘프트웨어 , 
조작체계，하드웨어 등 체계의 어느 층에서도 리용될수 있다. 그러나 공격자가 보다 낮 
은 층에로의 접근을 얻는다면 이 기구들은 무능력하게 된다. 

1 . 조작방식들 

사용자들로부터 조작체계자체를 보호하기 위한 첫째 전제조건은 사용자를 대표하여 
한 계산과 조작체계를 대표하여 한 계산 ( computation ) 을 구별하는 능력 이다. 이러한 목 
적 으로부터 조작체계가 여 러가지 방식 에서 작업 할수 있게 하는 상태기발을 리용한다. 다 
음의 두가지 실 례 는 처 리 기 준위 에 서 이 것 을 례 증한다 . 

• Motorola 68000: 한개 상태 비 트로 사용자방식 과 감시 자 ( Supervisor ) 체 계 방식 을 구 
분할수 있게 한다. 

• Intel 80386： 두개 의 상태비 트로 4가지 방식 을 구분할수 있 게 한다. 

:: - nix 조작체계는 감시자(뿌리)방식과 사용자방식으로 구분된다. 

그러면 왜 이러한 방식들이 필요하겠는가? 실례로 사용자가 기억기에 직접 쓰거나 
론리파일구조를 다치는것을 막기 위해 조작체계는 처리기가 관리자방식에 있을 때에만 
기억위치에 대한 쓰기접근을 허락할수 있다. 

2. 틍제된 호출 

앞에서 본 실례를 계속한다. 사용자는 감시자방식을 요구하는 조작 례하면 기억위 
치에 대한 쓰기를 하려고 한다. 이 요구를 처리하기 위해 처리기는 방식을 절환하여야 
하는데 이 절환이 어떻게 수행되여야 하겠는가? 간단히 상태비트를 감시자방식으로 변 
경시키는것은 사용자가 실제로 무엇을 하는가에 대한 어떤 조종도 없이 사용자에게 이 
방식과 관련되는 모든 특권을 주어 버리는것으로 될것이다. 그러므로 체계는 감시자방식 
의 미리 정의된 조작모임을 수행하고 사용자방식으로 되돌린다. 그후에야 조종처리는 사 
용자에게 되돌아 온다. 이러한 처리를 조종된 호출이라고 한다. 


제3절. 하드웨어보안특징 

하드웨 어 는 IT 체 계 에 대 한 보안모형 에서 가장 낮은 층이 다. 하드웨 어 는 콤퓨터보안 
이 물리적보안과 련결될수 있는 곳이기도 하다. 따라서 하드웨어준위에 있는 보안기구들 
은 우리의 연구에서 출발점이라고 볼수 있다. 여기서는 독자들이 콤퓨터구성방식의 기본 
개 념 들을 잘 알고 있 으리 라고 가정한다. 
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1. 콤퓨터구성방식의 간단한 개팔 


그림 5-3 에 중앙처리장치 ( CPU ), 기억기 그리고 CPU 와 기억기를 련결하는 모선으 
로 구성된 콤퓨터의 간단한 도해를 주었다. 실제로 세개의 실체들은 모두 훨씬 세부적인 
구조를 가질수 있다. 



그림 5-3. 콤퓨터의 도해 


중앙처리장치 

CPU 의 기본요소들은 다음과 같다. 

• 산수론리단 ( ALU ): 기 계언어 로 주어 진 명 령 들을 실행한다. 명 령의 실행 은 상태 등록 
기 에 있는 비 트들을 설정할수도 있다. 

• 등록기들 : 일반용등록기들과 전용등록기들이 있다. 중요한 전용등록기들은 다음과 
같다. 

• 프로그람계 수기 : 실 행 되 여 야 할 다음명 령 을 포함하는 기 억 위 치 를 지 적 한다. 

• 탄창지 시 기 : 체 계탄창의 꼭대 기 를 가리킨다. 

• 상태등록기 : CPU 가 상태정보를 보관하도록 한다. 

체계탄창은 특별히 지정된 기억기의 부분이다. 탄창은 그의 꼭대기에로 자료를 밀어 
넣거나 그 곡대기로부터 자료를 꺼내는 식으로 접근될수 있다. 서로 다른 처리들사이를 
절환하기 위해 CPU 는 상태절환을 실행하며 현재처 리의 상태 즉 프로그람계수기，상태 
등록기 등을 새로운 처리에로 조종을 넘겨 주기전에 탄창에 보관한다. 


A 


추상의 위험에 대하여 경고한적이 있는데 탄창은 그러한개소의 하나이다. 추상 
적 인 탄창의 크기 가 무한하다는것 은 옳은 주장이 다. 그러 나 실현에 서 는 고정 된 
기억구역을 탄창을 위해 할당할수 있다. 만일 탄창이 그의 최대크기를 벗어 나면 
보안문제 들이 꼭 생길것 이 다. 


기억구조 

다음의 간단한 개괄에서 여 러 기억구조들의 보안특징들에 특별히 주목해 야 한다. 

• RAM (random access memory )： 이것은 읽기쓰기 기억기이다. 여기서 완정성과 기 
밀성의 문제들을 고려해야 한다. 

• ROM ( read-only memory ) : 여 기 서 는 기 밀 성 의 문제 만을 고려 하면 된 다 . ROM 은 
조작체 계 를 기 억 시 키 는 위 치 이 다. 
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• EPROM (erasable and programmable ROM ) : 조작체계의 부분이나 암호열쇠들을 
기 억시켜 두는데 리용할수 있다. 기술적으로 보다 세 련된 공격들은 이 부분을 위협 
할수 있다. 

• WROM ( write-once memory ) : 기 억 기 구조는 기 억 내 용을 한번 만 고착시 킬 수 있게 
되여 있다. 하드웨어에서 이것을 쓰기선에 배치된 휴즈를 끊어 버림으로써 실현할수 
있으나 론리적휴즈를 생각할수도 있다. WROM 은 암호열쇠를 보관하는데 알맞는 위 
치 이 다. 쓰기 만하는 디 스크들은 검 열 추적 들을 기 록하는데 리 용된 다. 

휘발성기억기와 불휘발성(영구)기억기라는 구분도 있다. 휘발성기억기는 전원이 꺼 
지면 그의 내용이 없어 진다. 물리적으로 이 공정은 즉시에 일어 나는것이 아니며 완전 
히 없어 지는것도 아니다. 만일 전원이 꺼진후 곧 다시 켜면 낡은 자료가 기억기에 여전 
히 남아 있을수 있다. 지어는 전원이 일정한 시간동안 꺼져 있었어도 낡은 기억내용들이 
특별한 전자기술에 의해 재생될수 있다. 때문에 기억기에 그 기억매질에 의존하는 적당 
한 비트모양으로 반복적으로 겹쳐쓰기하여 야 한다 [11 현！/ 

영구기억기는 전원이 꺼져도 그의 내용을 보존한다. 만일 암호화열쇠와 같은 중요자 
료들이 영구기 억기 에 기억되여 있고 공격자들이 CPU 를 우회 하여 기 억기에 직접 접근하 
려고 한다면 암호화적 인 또는 물리적 인 보호와 같은 추가적 인 기구 등이 실현되여 야 한 
다. 실례로 빛수감기는 손대지 못하도록 모둘안에 설치되여 있고 손조작의 시도를 검출 
하여 모둘안에 보존된 자료의 삭제를 유발시키도록 되여 있다. 물리적보호에 대하여서는 
이 책에서 설명하지 않는다. 우리는 사용자가 CPU 를 통해서만 기억기에로의 접근을 실 
현할수 있는 경우에로 범위를 제한하고 CPU 가 어떻게 기밀성과 완정성을 실현할수 있 
겠는가를 연구한다. 실례로 콤퓨터비루스가 오염된 판본으로 조작체계의 깨끗한 판본을 
파괴하는것을 예방하기 위해서는 어떻게 하여야 하겠는가? 

그림 5-3 의 《기 억기》역 시 하나의 추상이라는것 을 상기하는것 이 중요하다. 론리적 
으로 기 억 기는 주기억기，빠른 접 근을 위 한 완충기억기 , 완충기 등으로 구성될수 있다. 
여벌기억매체도 이 목록에 포함될수 있다. 따라서 하나의 자료객체가 이러한 기억기계 
층에서 하나이상의 위치에 동시에 존재할수 있다. 기억기에서의 영구기록외에 림시기록 
이 있다. 보통 이러한 림시기록의 위치와 수명은 사용자가 조종할수 없다. 그러나 림시 
기록들중의 하나가 보호되지 않은 기억령역에 있다면 사용자는 자료객체에 대한 보안조 
종을 우회할수 있 다. 


2. 처리와 스레드 

처리란 실행중에 있는 어떤 프로그람이다. 그러므로 처리는 조작체계는 물론 보안을 
위한 중요한 조종의 단위이다. 풀어서 말하면 처리는 다음과 같은것들로 구성된다. 

• 실행 가능한 코드 

• 자료 

• 실 행 환경 례 하면 일 정 한 관계 되 는 CPU 등록기 들의 내 용들 

처리는 자기의 전용주소공간에서 작업하며 다른 처리들과는 오직 조작체계에 의해서 
제공되는 기본지령 ( PRIMITIVE ) 들을 통해서만 통신할수 있다. 처리들사이의 이러한 론 
리적구분은 보안을 위한 유용한 기초이다. 한편 처리들사이의 상태절환은 조작체계가 
전체 실행상황을 탄창에 보관하여 야 하는 비용이 많이 드는 조작이 다. 
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토막과제(스레드)란 하나의 처리내에 있는 실행의 가지들이다. 토막과제들은 하나의 
주소공간을 공유함으로써 완전한 상태절환의 쓸모 없는 시간소비를 피하며 한편 보안기 
구에 의한 조종을 피할수 있다. 

3. 통제된 호출 -새치기 

처리기들은 프로그람이나 사용자요구，하드웨어고장 등의 오유들에 의해서 발생된 
실행의 새치기을 처리하도록 장비된다. 그러한 기구들을 례외，새치기，중단이라는 여러 
가지 이름으로 부론다. 서로 다른 용어로서 서로 다른 형태의 사건들에 대응될수 있지만 
사실은 류사한 분류들이 다. 실례로 [66] 을 참고하시오. 구체적인것은 제 5장 6 절을 참 
고하시오. 

여기서는 일반용어로 《중단》을 사용하며 중단들이 어 떻게 보안목적 에 리용되는 
가를 설명한다. 중단은 새 치기벡 토르표에 있는 하나의 주소를 포함하는 CPU 에 입 력 
하는 새 치기벡토르입 력 이다. 새 치기표는 중단에 명시된 사건을 처 리하는 프로그람의 
위치를 준다. 이 프로그람을 새치기처리기라고 한다. 중단이 일어 나면 체계는 그의 
현재상태를 탄창에 보관하고 다음 새 치기처 리기를 실행한다(그림 5-4). 이 런 방법 으로 
조종은 사용자프로그람으로부터 떨어 져 나온다. 처리기는 사용자프로그람에 조종을 
되돌려 주기전에 관리자상태비트를 지움으로써 체계가 본래의 상태로 복귀된다는것을 
확인해야 한다. 


새치기 새치기벡토르표 기억기 



처 리기가 현재새 치 기를 처 리하는 동안에 또 다른 새 치기가 일어 날수도 있다. 그때 
처리기는 현재의 새치기처리기를 새치기하여야 한다. 이러한 상황을 잘못 조종하면 보안 
류출을 초래할수 있다. 실례 로 사용자가 CTRL - C 를 누름으로써 프로그람의 실행 을 새 
치 기시 키고 처 리기 가 현재 처 리의 상태 비트를 가지 고 조작체 계 입 력재촉 ( prompt ) 에 로 되 
돌아 오는 체계를 들수 있다. 사용자는 다른 조작체계호출의 실행을 새치기함으로써 관 
리자방식으로 들어 올수 있다. 그러므로 프로그람을 실행하기전에 새치기가 적절한 방법 
으로 처 리 될수 있도륵 새 치 기 표를 설 치 하는것 이 중요하다. 
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A 우의 론의로부터 새치기표는 공격자에게 특별히 흥미 있는 점이며 그것을 엄 
격히 보호하여야 한다는것을 알수 있다. 또한 공격자는 새치기벡토르를 바꾸 
어 쓰는 방법으로 조작체계의 완정성을 쉽게 약화시킬수 있다. 이러한 문제 
들은 콤퓨터비루스를 론의할 때 다시 취급될것 이 다. 


4. Motrola 68000에서의 보호 


Motorola 68000은 1加 it 처리기이다. 그것은 16 bit 의 상태등록기를 가지는데 그의 웃 
바이 트를 체계 바이 트라고 하며 거기 에는 다음과 같은 보안조종관련비 트들이 포함된다. 

T ： 추적비트. 15번비트 

S ： 관리자비트. 13번비트 

I 2 IiI 0 ： 새치기준위번호. 8-10 번비트 

상태 등록기 의 낮은 바이 트는 조건코드등록기 ( CCR ) 이 다(그림 5-5). 68( X )0 은 관리 자 
비 트 S 를 리 용하여 사용자방식 과 관리 자(체 계 ) 방식 을 구별 한다. 재 설정후 68000은 항상 
관리 자방식 에 서 시 동한다. 관리 자방식 은 상태등록기 의 체 계바이 트에 로의 접 근을 허 락한 
다. 일단 S 비트가 0으로 설정되여 사용자방식이 능동으로 되면 새치기와 오유례외에 의 
해서 만 S 비 트를 1 로 다시 절환하고 관리 자방식 에서 동작할수 있다. 조작체 계호출은 
TRAP # n 명령을 통하여 실현되며 관리자방식에서 동작할수 있고 관리자기 억기에 대한 
접근을 가진다. 연산수# n 은 32와 47사이의 례외벡토르를 가리킨다. 여기서 랄뢰할 때 
조작체계호출은 RTE 명 령을 써서 사용자방식 에로 되돌아 간다. 

68000은 7준위의 새치기우선권을 가진다. 현재새치기의 준위는 상태등록기의 班山 
비트들에 보관된다. 68000이 새치기를 처리하고 있을 때 또 다른 새치기가 보다 높은 우 
선권을 가지고 발생하면 그때는 새 로운 새 치기 가 우선권을 차지하며 첫번째 새 치기는 새 
치기된다. 낮은 우선권을 가진 새치기는 무시된다. 새치기처리기를 다른 새치기들로부터 
막기 위 하여서 는 상태등록기 에 서 새 치 기준위번호를 설정하여 새 치 기들을 마스크하여 야 
한다. 그러므로 새치기준위 7은 모든 다른 새치기들을 마스크한다. 
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그림 5-5. 68000 상태 등록기 


처리기는 기억할당식 I 八)를 리용한다. 즉 입력/ 출력포구들이 기억주소공간의 부분 
처 럼 취 급된다. 이 리하여 입 력/ 출력조작들과 기 억 기 접근은 단일한 방법 으로 취 급될수 
있다. 처리기는 64개 핀을 가진다. 그중 세개는 기능코드출력， FC 2 , FCl FQj 으로 설 
계되였다. 이 기능코드들은 주소해신기에 대한 처리기상태를 나타내는데 이것은 해신기 
가 사용자기억기와 관리자기억기사이 또는 자료와 프로그람사이를 선택하도록 리 용될수 
있다(그림 5-6). 
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A 자료와 프로그람을 구분하는 능력은 매우 쓸모 있는 보안특성 이 다. 그것은 프 
1 쇼 로그람을 수정하는것 을 막기 위한 기 초이 다. 

보다 추상적 인 관점 으로부터 기 억기를 여 러 구역들로 나눌수 있다. 이때 접 근조종은 
자료객체나 프로그람이 오는 위치를 참조할수 있다. 
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그림 5-6. MC 68000 기능코드출력 

/今 、 이제 microcosmos 에서 위치-기호접근조종에 대한 실례를 보자. 분산체계나 
콤퓨터 망에서 자주 microcosmos 에 서 의 위 치-기 호접 근조종을 요구한다. 


5. Intel 80386/80486에서의 보호 


Intel 80386/80486은 32 bit 극소형 처 리기들이 다. 80386/80486에서의 보호방식를長 
다중과제 조작체 계 들의 완정 성 과 기 밀 성 요구들을 지 원 한다. Intel 80386/80486은 상태 등 
록기 에 4개의 특권준위들(보호고리들)을 정의 하는 2 bit 마당을 가진다. 특권준위는 단일 
명령 ( PDPF ) 에 의해서만 변경될수 있는데 이 명령은 준위 0에서 실행되여야 한다. 쏘프 
트웨어 는 이 준위 들에 다음과 같이 할당될수 있 다. 

0： 조작체계핵심부 
1： 조작체계의 나머지부분 
2： I 八)구동기 등 
3： 응용쏘프트웨어 

모든 조작체 계 들이 이 4개 준위 들을 다 리용하는것 은 아니 다. 실례 로 Unix 는 준위 
0과 3만을 리 용한다. Intel 80386/80486은 다음과 같은 보안방책 을 실현한다. 


규칙 : 수속들은 자기가 속한 고리 또는 바깥고리들에 있는 객체들에만 접근할수 있 
다. 수속들은 자기 가 속한 고리내 에서만 부분루린들을 호출할수 있다._ 
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Intel 80386/80486 은 기 억 기토막들，접 근조종모둘，서 술자들에 있는 문 ( gate ) 들과 
갈은 체계객체들에 대한 정보를 기억한다. 서술자들은 서술자표에 기억되며 선택자들을 
통하여 접근된다. 어떤 객체의 특권준위는 그의 서술자의 DPL 마당에 기억된다. 선택자 
는 서술자표에서 객체 의 기 입 항목과 지 적 하는 색 인과 요구특권준위 ( RPL ) 마당을 포함하 
는 16 bit 마당이다(그림 5-7). 


15 3 2 1 

I INDEX I I RPL 


선택자 


서술자 | DPL | 


서 술자표 


그림 5-7. 선택자의 서술자 

RPL 마당의 리용은 간단히 설명된다. 조작체계만이 선택자들에 접근할수 있다. 

주동체들 례하면 처 리 들에 대 한 정 보를 포함하는 체 계 객체 들은 물론 서 술자들과 선 
택자들을 가진다. 주동체 가 객체 에 대 한 접근을 요구할 때 관계되는 선택 자들은 해 당한 
토막등록기 들에 넣 어 진다. 실례 로 현재 특권준위 ( CPL ) 라고 하는 현재 처 리 의 특권준위 는 
코드토막 ( CS ) 등록기에 기억된 선택자의 특권준위이다. 

여 기서 또다시 보다 높은 특권을 요구하는 조작들에 대 한 접 근을 관리 해 야 하는 문 
제에 맞다들게 된다. 고리 3에 있는 응용프로그람이 고리 1에 있는 조작체계루린으로부 
터 이 봉사를 요구한다고 가정 하자. 80386/486에 서 이 문제 는 문 ( gate ) 을 리용하여 해 
결된다. 문이란 어떤 수속(일부 코드토막에 있는)을 지적하는 체계객체로서 자기가 지적 
하는 코드토막과 다른 특권준위를 가진다. 문들은 보다 안쪽 고리에 있는 수속에 대한 
실행에만 가능한 접근을 허락한다. 바깥쪽으로의 호출들에 대한 제한은 여전히 시행된다. 

어 떤 수속이 문을 리용하자면 문은 그 수속과 같은 고리안에 있 어 야 한다. 문을 통 
하여 부분루린을 호출할 때 현재 특권준위 는 문이 지 적하는 코드의 준위 로 변한다. 부분 
루린으로부터 귀환할 때 특권준위는 호출하는 수속의 특권준위로 회복된다. 부분루린호 
출 역시 호출하는 수속의 상태와 귀환주소를 가리키는 정보를 탄창에 보관한다. 탄창의 
적절한 특권준위를 결정 하자면 호출하는 수속은 보다 안쪽 고리 에 쓰기를 할수 없다는것 
을 명심해야 한다. 그러나 바깥쪽 고리에 탄창을 두는것은 귀환주소를 얼마 보호되지 않 
은것으로 남겨 두기때문에 보안의 견지에서는 오히려 불만족스러운것이다. 그러므로 탄 
창의 부분(문의 서술자에 아무리 많이 서술된다 해도)은 보다 높은 특권을 가진 탄창토 
막에 복사한다. 

바깥쪽 고리수속이 안쪽 고리수속을 호출하도록 허 락함으로써 잠재적 인 보안엿보기 
구멍 ( loophole ) 을 만든다. 바깥쪽 고리수속이 안쪽 고리에 존재하는 객체를 바깥쪽 고 
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리에 복사하기 위해 안쪽 고리수속을 요구할수 있다. 이것은 보안방책을 위반하지 않으 
므로 어떤 기구로도 방지할수 없다. 이로부터 초기의 보안방책을 현재특권준위뿐아니 라 
호출하는 수속의 준위 도 고려할수 있도록 확장하여 야 한다. 80386/486에서 는 이 와 갈은 
방책 이 선택 자의 RPL 마당과 요구특권준위 조정 ( ARPL ) 명 령 에 의 해 서 지 원될 수 있 다. 
ARPL 명령은 모든 선택자들의 RPL 마당들을 호출하는 수속의 CPL 로 고친다. 다음체계 
는 RPL (선택 자에 있는)과 DPL (서술자에 있는)를 비 교하여 만일 같지 않으면 요구된 
조작을 거부할수 있다(그림 5-8). 


31. 3 2 1 0 



그림 5-8. RPL 과 DPL 을 비교 


제4절. 참조감시기 

조작체계들은 자료와 자원들에 대한 접근을 관리한다. 그것들은 보통 사용자자료의 
해석에는 관계하지 않는다. 다중과제조작체계들은 서로 다른 사용자들에게 속하는 처리 
들의 실행을 엇끼워 준다. 이때 조작체계들은 자기의 완정성을 보존해야 할뿐아니라 사 
용자들이 우연적으로 혹은 고의적으로 다른 사용자들의 자료에 접근하는것을 막아야 한 
다. 조작체 계 그자체 의 완정 성 은 조작체 계 공간으로부터 사용자공간을 분리 하는것 에 의 해 
보호된다. 사용자들의 론리적 인 분리는 사용자들사이의 우연한 혹은 고의적 인 간섭을 막 
는다. 분리는 다음의 두가지 준위에서 일어 날수 있다. 

• 론리적인 기억기객체들을 처리하는 파일관리 

• 물리 적 인 기 억 기 객 체 들을 처 리 하는 기 억 기 관리 

보안과 관련되는 한 이 구분은 중요하다. 실례로 기억기를 구성하는 두가지 주요방 
법으로서 토막화와 페지화를 고찰해 보자. 토막화는 자료를 론리적 인 단위들로 나눈다. 
매 개 토막은 유일한 이름을 가지며 그 토막의 항목들은 토막이름과 그 토막안에서의 해 
당한 변위를 줌으로써 주소가 지정된다. 기입항목들을 가진다. 조작체계는 기억기에서의 
실제 주소를 가지 는 토막이 름표를 보존한다. Multics 조작체 계 는 론리 적 접 근조종을 위 해 
토막화를 리용한다. 
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토막화는 론리적단위들로의 분리인데 이것은 보안방책을 실행하기 위한 좋은 
기초이다.한편 토막들은 가변길이를 가지는데 이것은 기억관리를 보다 어렵 
게 한다. 

페지화는 기억기를 갈은 크기의 폐지들로 나눈다.주소들은 다시 두개의 부분 즉 페 
지번호와 그 페지내에서의 변위로 이루어 진다. 

페 지화는 그것이 효과적인 기억 관리를 할수 있게 하므로 널리 리용된 
다. Multics 에서의 토막들每 실제로 페지화된다. 한편 페지화는 페지들이 론 
리적 인 단위가 아니므로 접근조종을 위한 좋은 기초는 아니 다. 하나의 페지 
는 서로 다른 보호를 요구하는 객체들을 포함할수 있다. 

나쁜것이지만 유감스럽게도 페지화는 잠복통로를 열수 있다. 론리적객체들은 페지경 
계를 넘어서 기억될수 있다. 이런 객체가 접근될 때 조작체계는 일정한 단계에서 새로운 
페지를 요구할것 이며 페지오유가 일어 날것 이 다. 만일 폐지오유가 관찰될수 있으면 대부 
분 조작체계들에서처럼 사용자는 접근요구에 대한 적절한 결과를 초과하는 정보를 제공 
받게 된다. 

실례로 통과암호기구를 고찰하자. 사용자는 통과암호를 입력하며 이것은 한문자씩 
주사되여 기억기에 기억된 참고통과암호와 비교된다. 맞지 않는 개소가 발견되는 순간에 
접근은 거부된다. 만일 통과암호가 폐지경계를 넘어서 기 억되면 이때 공격 자는 페지오유 
를 관찰함으로써 첫번째 폐지에 있는 통과암호의 조각이 정확히 추측되였다고 추론할수 
있다. 만일 공격자가 통과암호가 기억된 폐지를 조종할수 있다면 통과암호의 추측은 오 
히려 쉽게 된다. 

1. 기억기보호 

조작체계가 자기의 완정성을 보호하고 매개 처리가 분리된 주소공간에만 한정되기를 
원한다면 우리의 과제들중의 하나는 기 억기에 있는 자료객체들에 대한 접근을 조종하는 
것이다. 이러한 자료객체는 물리적으로 정해 진 기억위치들에 기억된 비트들의 집합으로 
표현된다. 론리적객체에 대 한 접근은 최종적 으로 기계언어준위의 접근조작들로 변환된다. 
이 준위에서 기억위치들에 대한 접근을 조종하기 위하여 다음과 같은 세가지 선택방안이 
주어 진다. 

• 조작체계 가 사용자처 리들로부터 받은 주소를 수정 한다. 

• 조작체계가 사용자처 리들로부터 받은 상대주소를 유효주소로 바꾼다. 

• 조작체계 가 사용자처 리들로부터 받은 주소가 주어 진 한계 내 에 있는가를 검사한다. 

주소모래통처 리 (sandboxing) 는 첫번째 방법 에 대 한 실례 이 다. 주소는 토막식별자 
와 변위부로 구성된다. 조작체계가 주소를 밤으면 정확한 토막식별자를 설정한다. 그림 
5-9 는 이것이 두개의 등록기조작으로 어떻게 수행되는가를 보여 준다. 우선 주소와 마스 
크 _1 과의 비 트별 론리곱하기 (AND) 는 토막식 별자를 지 운다. 다음 마스크 _2와의 비 트 
별 OR 는 토막식 별 자를 예 견된 값 SEG_ID 로 설 정한다. 
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두번째 방법에서는 주소화방식을 리용하여 금지된 기억구역밖의 처리들을 보존한다. 
만일 주소화방식에 대한 더 많은 지식이 요구되면 조작체계나 콤퓨터구성방식에 대한 책 
들[38, 66, 10이을 참고하시오. 여러가지 주소화방식들중에서 상대주소화는 특별한 흥미 
를 끄는데 여기서 주소는 주어 진 기준주소에 대한 상대적인 변위로 표시된다. 실례로 
상대주소화는 Motorola 68000에서 변위부를 가진 등록기간접주소화방식을 통하여 지원 
된다. 아쌤 불리언어 명 령 
MOVE , L 8( A 1), D 3 

은 기 억기주소를 얻기 위하여 등록기 A 1 의 내용에 상수 8을 더한다. 이 기 억기주소에 
기 억된 긴 단어 (16 bit ) 는 등록기 D 3 에로 옮겨 진다. 


주소 


마스크 J 


마스크_2 


유효주소 


그림 5-9. 주소계산 

상대주소화는 위치독립형코드화를 허용한다. 그래서 프로그람含 기억기 어느 곳에든 
지 기 억 될 수 있 으며 기 억관리프로그람에 보다 큰 유연성 을 준다. 그것 은 또한 경 계등록 
기 들의 리용을 편 리하게 한다. 경 계등록기 는 조작체 계 에 할당된 기 억 구역 의 끝의 주소를 
포함한다. 사용자프로그람에 서 의 주소는 상대주소로 해 석 된다. 조작체 계 는 다음 유효주 
소를 얻기 위 하여 경계 등록기에 관한 상대 주소화를 리 용한다(그림 5-10). 이런 방법으로 
사용자프로그람은 조작체 계 공간의 밖에 위 치 하고 있는것 들에만 접 근할수 있 다. 서 로 다 
른 사용자들에 게 할당된 기 억구역 들을 분리 하기 위하여 류사한 방법 들이 조작체 계 에서 
사용될수 있다. 

이 방법은 기준등록기들과 한계등록기들을 통하여 처리에 할당된 기억공간을 확정함 
으로써 보다 세련될수 있다. 한걸음 더 나가서 사용자프로그람공간과 자료공간을 위한 
기초 및 한계등록기들을 각각 도입한다. 이 런 기구의 적절한 리용을 위해 처 리기는 주어 
진 기억위치가 자료나 프로그람코드를 포함하는가를 검출할수 있어야 한다. 그러나 대부 
분 명 령모임 들에는 자기 들의 연산수들의 형 을 검 사하기 위한 수단들이 없 다. 그것 들이 
없 을 때 형 정 보는 서 로 다른 기 억 접 근조작들에 서 리 용되 여 야 하는 주소등록기 를 지 정 함 
으로써 프로그람에서 제공될수 있다. 이것은 적절한 프로그람작성숙련을 요구한다. 
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한편 표쪽 붙은 구성 방식 (tagged architecture ) 에서는 매 개 자료항목이 그의 형을 
나타내는 표쪽을 가진다. 조작전에 CPU 는 기억기에 기억된 값으로부터 어떤 형위반도 
직 접 검 출할수 있 다.이 표쪽들은 보안방책 을 시 행하는데 도 리 용할수 있 다. 력 사적 으로 
표쪽 붙은 구성방식들은 실제적실현에서보다 리론적고찰에 많이 쓰였다. 그 몇가지 실례 
로 burroughs B 6500-7500 체 계 와 IBM system /38[1 기 을 들수 있다(콤퓨터 의 력 사에 흥 
미 를 가지 는 독자를 위 해서 폰 노이 만 (Von Neumann ) 은 자기 가 1945년에 쓴 First 
Draft of a Report on the EDVAC 에서 표쪽 붙은 구성 방식 을 언급하였다 [154]). 



기억기 

( ，끼， -i ^1…………… 

사용자공간의 꼭대 기 

一 1 


변위 !—►+—► 





그림 5-10. 기준등록기의 주소화 


표쪽 


자료 


INT 


OP 


STR 





그림 5-11. 표쪽 붙은 구성 방식 


그림 5-11 은 기 억기객체들 례하면 옹근수 ( int )， 문자렬 ( STR )， 조작수 ( OP ) 의 형을 
나타내 는 표쪽 붙은 구성 방식 (tagged architecture ) 을 보여 준다. 표쪽 ( tag ) 들은 어 떤 
접근조작이 기억기위치에서 수행될수 있는가 례하면 읽기, 쓰기，실행 등을 나타내기 위 
해서도 리용될수 있다. 

2. Multics 

Multics 조작체계의 력사적실례는 보안핵심 이 어떻게 접근조종을 시 행할수 있는가를 
보여 주고 있다. Multics 는 안전하고 믿음직한 다중사용자조작체계로 개발되였다[13, 
1193, Multics 에 의하여 BPL 과 같은 보안에 관한 많은 연구들이 진행 되 였 다. Multics 
에서의 보호기구들에 대 한 개괄을 [119] 와 4장에서 주었다. Multics 는 방대한 목표들과 
보안요구들을 제기하였으므로 그것을 실현하는것은 너무 힘 이 부치였다. 이로부터 훨씬 
더 간단한것 즉 Unix 가 창안되였다. 

3. BLP 의 Multics 해석 

Multics 에 대한 연구는 보안모형，이 경우에 벨-라파둘라모형 이 안전한 조작체계의 
설계에 어떻게 리용되는가를 볼수 있게 한다. 접근조종의 공식적모형으로서 BLP 는 조작 
체 계 들의 보안요구들을 취 급하는데 매 우 편 리하다. 사실 상 그것 은 바로 그런 목적 을 위 
해서 개발되였다. BLP 에서 유도된 보안정의는 상대적으로 안전보안체계를 구축하기 쉽 
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게 한다. 다만 보안성을 담보하기 위하여 상태이행들을 적절하게 정의해야 한다. 
Multics 가 안전하다는것을 보증하기 위 해서 는 BLP 로 구성한 Multics 의 묘사를 찾아야 
한다. BLP 의 개념들이 어떻게 Multics 에서 사용되는가를 보여 주기 위해 대체로 [13] 에 
주어 진 표현을 따른다. 

Multics 에서 주동체들은 처 리들이다.매개 주동체들은 처 리에 대한 정보를 포함하는 
하나의 서술자토막을 가진다.여기에는 그 처리가 현재 접근하고 있는 객체에 대한 정보 
가 포함된 다.이 매 개 객 체 들에 대 하여 주동체 의 서 술자토막에 는 하나의 토막서 술자단어 
( SDW ) 가 대 응된다. SDW 의 쓰기법은 그림 5-12 에 주어 진다. SDW 는 객체의 이름， 
객체에 대한 지시자 그리고 읽기，실행, 쓰기접근을 위한 지시기기발들을 포함한다. 이 
지시기들은 계3장 3절 2에서 서술한 접근속성들을 따른다. 주동체들의 보안준위들은 처 
리 준위 표와 현재 준위표에 보존된다. 능동토막표는 모든 능동처 리 들의 경 로를 보존한다. 
능동인 처리들만이 객체에 대한 접근을 가진다. 


토막 - id 

r：on e：off 


| 매자 | 


그림 5-12. Multics 토막서 술자단어 

Multics 에 서 객 체 들은 기 억 기토막들， I/O 장치 들 등이 다. 객 체 들은 등록부나무에 서 
계층적으로 조직된다. 등록부들 역시 토막이다. 어떤 객체의 보안준위나 그의 접근조종 
표 ( ACL ) 과 갈은 객체에 대한 정보는 그 객체의 어미등록부에 보존된다. 객체의 접근조 
종파라메터들을 변경시키거나 객체를 창조하고 삭제하는것은 그의 어미등록부에 대한 쓰 
기 혹은 추가접근권한을 요구한다. 

객체 에 접근하기 위해서 처 리는 목적객체 에 대한 뿌리등록부로부터 등록부나무를 횡 
단하여야 한다. 만일 이 경로에 그 처리가 접근할수 없는 등록부가 있다면 목적객체에 
접근할수 없다. 다른 말로 비밀등록부안에 있는 비밀이 아닌 객체를 비밀이 아닌 사용자 
가읽어 낼수 없다. 따라서 객체들을 보다 높은 보안준위를 가지는 등록부에 배치하는것 
은 좋지 않으며 언제나 객체의 보안준위가 그의 어미등록부의 보안준위우에 놓일것이 요 
구된다. 이 속성을 호환성 이라고 한다. Unix 와 같은 형 태의 조작체 계들에서도 같은 문 
제 를 취 급한다. 만일 다른 사용자들이 리용가능한 파일 을 만들려 한다면 등록부경 로에 
접 근조종권한을 설정하여 야 한다. 

Multics 체 계 표들에 있는 자료와 서술자토막을 가지는 BLP 상태 모임의 요소들을 확인 
하는데 필요한 모든 정보를 보기로 하자. 

• 현재 접근 b ： 능동처리의 서술자토막에 있는 SDW 들에 기억된다. 능동처리들은 능 

동토막표에서 찾는다. 
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• 접근조종행 렬 M ： ACL 들에 의해서 표현된다. 매 개 객체 에 대 하여 ACL 은 그의 어 
미 등록부에 기 억 된 다. 매 개 ACL 항목에 는 처 리 와 그 처 리 가 객 체 에 대 하여 가지 는 
접근권한들이 지정된다. 

• 준위함수 F ： 주동체 들의 보안준위 들은 특수한 보안준위 표(처 리 준위표와 현재 준위 표) 
에 기억된다. 객체의 보안준위는 그의 어미등록부에 기억된다. 

제3장 3절 2에서 이미 자료토막과 등록부토막을 위한 Multics 접근속성들이 소개되였 
다. 거기서 이 접근속성들이 벨-라파둘라모형의 접근권한들과 어떻게 대응하는가를 설명 
하였 다. 그림 5-13 에 있는 자료토막들을 위한 접 근속성 들을 다시 서 술한다. 

접근속성 _ 접근권한 

read r 

execute e, r 

read, write w 

write a 


그림 5-13. 자료토막을 위한 접근권한 

BLP 보안속성들은 처리들과 자료토막들 그리고 SDW 들에 기억된 지시기들의 보안준 
위의 용어들로 바꾸어 표현된다. 실례로 속성은 다음과 같이 씌여 진다.어떤 능동처리 
의 서술자토막에 있는 임의의 SDW 에 대해서 처리의 현재준위는 

• 만일 읽기나 실행지시기가 ON 이고 쓰기지시기가 OFF 라면 토막의 준위를 지배한다. 

• 만일 읽기지시기 가 OFF 이 고 쓰기지시기 가 ON 이면 토막의 준위 에 의해서 지배된다. 

• 만일 읽기지시기가 ON 이고 쓰기지시기가 ON 이면 토막의 특권준위와 같다. 


토막 - id 어 미 



그림 5-14. 접근속성쓰기를 위 한 *- 속성 
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그림 5-14 는 속성을 가지는 허락이 어떻게 증명될수 있는가를 보여 준다. 현재처 
리 의 보안준위 LC 는 현재 준위 표에 기 록된 다. 서 술자토막기 초등록기 ( DSBR ) 의 내 용은 
현재 처 리의 서술자토막의 머 리부를 가리킨다. 이 서술자토막은 접근속성 이 Write Only 
인 객체를 위한 SDW 를 포함하도록 일어 난다. 따라서 쓰기지시기는 ON 이 고 읽 기지시 
기 는 OFF 이 다. 객체 의 보안준위 L 0 은 그의 어미등록부로부터 취 해 지며 L S > L 0 임 을 
검 사하기 위해 L s 와 비 교된 다. 

4. 핵심부의 원시조작들 

끝으로 핵 심 부원시조작들의 모임 이 서 술되 여 야 한다. 이 핵 심 부원시조작들은 
Multics 핵의 추상적모형에서의 상태이행들이며 우리는 그것들의 BLP 보안방책들을 준수 
한다는것을 보여 주어야 한다. 다음에 기본보안리론의 전제조건들을 세우고 Multics 의 
《보안》을 증명한다. 또한 핵심부원시조작들의 실현이 그리고 끝으로 주어 진 하드웨어 
가동환경에서 그것들의 실행이 그자체의 서술에 따른다는것을 보여 주어야 한다. 

핵 심 부원시 조작을 자세 히 보기 위 해 Get-read 를 선택 한다. Get - read 원시 조작은 
그의 파라메터 로 p roce ss - ID 와 Segment - ID 를 취 한다. 조작체 계 는 다음의 사실들을 확 
인하여 야 한다. 

• 토막의 어미등록부에 기억된 Segment - ID 의 ACL 은 읽기허가를 가지는 Process-ID 
의 목록을 받는다. 

• Process - ID 의 보안준위는 Segment - ID 의 보안준위를 지배한다. 

• Process - ID 는 신용받는 주동체 이거나 또는 Process - ID 의 현재보안준위가 Segment - 
ID 의 보안준위 를 지 배한다. 

만일 이 세 가지 조건들이 다 맞는다면 접 근이 허 락된 다. 만일 Segmetn - ID 를 위한 
SDW 가 존재하지 않으면 대 응하는 SDW 가 활성화된 읽 기지 시 자와 함께 Process - ID 의 
서술자토막에 추가된다. 만일 Segment - ID 를 위 한 SDW 가 이미 Process - ID 의 서술자토 
막에 존재한다면 이 SDW 에 있는 읽기지시기가 On 으로 된다. 만일 세가지 조건들중 어 
느 하나라도 맞지 않으면 접근은 거부된다. 

다음의 것 들은 Multics 핵 심 부에 서 실 현 하기 위 해 제 안되 였 던 일 련의 기 타 원시 조작들 
이다. 

release-read 처리가 객체를 해방한다. 대응하는 SDW 에 있는 읽기기발이 
내려 진다. 만일 그후에 설정된 지시기가 없으면 그 SDW 는 서술자토막에서 
제거된다. 

give-read 처리가 다른 처리에게 읽기접근을 넘겨 준다(자유접근조종). 

rescind-read 처리가 다른 처리에 주었던 읽기허가를 회수한다. 
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create-object 처리가 객체를 창조한다. 조작체계는 그 객체의 등록부토막에 대 
한 쓰기접근이 허락되는가와 그 토막의 보안준위가 처리의 특권준위를 지배하는 
가를 확인해 야 한다. 

delete-object 객체를 삭제 할 때 create - object 에서와 같이 확인을 한다. 

change - subject - current - security-level 조작체 계 는 변경 에 의해 보안위 반이 

발생하지 않는가를 확인해 야 한다. 이 핵 심 부원시조작뿐아니 라 원시조작 
change - object - current - security-level 도 실현에 대해서는 예견하지 않았다 
(안정성). 

리 상적 으로 처 리 기 들은 자기 들의 명 령 모임 들이 조작체 계 의 핵 심 부원시 조작들과 밀 접 
히 련관되도록 개발된다. 반대로 핵심부원시조작들은 현존하는 처리기들이 제공하는 지 
원을 받을수 있게 설계할수 있다. 

이 장의 문헌안내 

기초적 인 접근조종실례들은 문헌 [82] 에 주었다. 첫 다중사용자조작체 계 에서 목적한 
콤퓨터보안결과는 [39] 에서 포괄적 으로 보여 주었다. 기 타 보안기 술들에 대 해서 는 [84] 
에서 개괄하였다. 안전한 다중사용자조작체계의 설계에 리용된 기술들에 대한 책은 [56] 
이 다. 이 책은 이 분야에 대한 많은 쓸모 있는 참고문헌들을 지적하고 있다. Multics 보 
안과 특히 는 보안관리의 복잡성과 설계의 정 확성 을 평 가하는 복잡성해석은 [131] 에서 
찾아 볼수 있다. 

Motorola 68000 극소형 처 리 기는 [33] 에 있는 실례 에서 상세 히 설명 하였다. Intel 
80386/486 에서의 보호기구들에 대 한 상세 한 서 술은 [111] 에 주었 다. Intel 80 x 86 처 리 기 
들을 가지고 보안핵심을 구축하는것은 [141] 에서 론의되였다. 

주소모래통처리과 그와 관련된 기술들은 [155] 에서 론의된다. 기억관리에 대한 실천 
적자료들을 다음의 Web 폐 지 를 참고하시 오. 

http : / / www . com / literature / ntosysarch / ntosysarch . html 

Multics 에 대한 정보는 
http ：// www . lilli . com / multics . html 

에서 찾아 볼수 있다. 안전한 콤퓨터개 발의 초기 력사는 [93] 에 묶어 져 있다. 최근 
에 TCB 들(보안핵 심)이 아직도 안전체 계를 구성하는데서 적절한 모형 으로 되는가 하는 
의문이 제기되였다. 이 론의에서 대치되는 점들이 [21] (반대)과 [11] (찬성)에 주어 
졌 다. 
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련습문제 


1. Motorola 68000 에 서 상태 등록기 에 있는 추적 비 트가 설정되면 매개 명령이 실행된 후에 
례외(새 치기)가 발생하며 프로그람작성 자로 하여금 례외조종루린(새 치기처 리기)을 
실 행할수 있게 한다(례 로 오유수정 프로그람) . 추적 비 트를 설 정 하는것 은 보안과 어 떤 
관련이 있는가 ? 례외를 처리할 때 왜 추적비트를 지워야 하는가? 

2. 기생적인 비루스는 실행가능한 프로그람들을 감염시킨다(제8장 8절을 보시오). 프로 
그람과 자료를 구별하는 능력이 이러한 비루스들에 대한 방어를 구축하는데 어떤 도 
움을 줄수 있는가? 

3. 지능카드들에서 극소형처 리기들은 자기의 전체 조작체 계를 ROM 에 가지 고 있다. 현 
재조작체계의 일부를 EP - ROM 으로 내 리적재할수 있는 극소형처 리기방향으로 향하고 
있다. 조작체계를 ROM 에 보관하는것이 어떤 우점과 결함이 있는가? 조작체계의 
일부를 EP - ROM 에 옮기는것은 보안과 어떤 관련이 있는가? 

4. 제 5장 4절 3에 서 속성 의 재 표현 ( rephrasing ) 을 정 당화하시 오. 왜 세 가지 경 우를 
고려해 야 하는가? 

5. 여 러 준위안전조작체 계 의 뿌리 등록부에 는 어 떤 표식 이 할당되 여 야 하는가? 

6. 여 러준위안전조작체계에서의 등록부를 고찰하자. 여기에는 파일의 안전준위를 기억하 
는 다음과 같은 세가지 선택 방안이 있다. 

1) 등록부에 파일이름과 함께 파일의 보안준위를 기억한다. 

2) 등록부는 파일의 이름만 포함하고 파일의 보안준위는 파일 그자체와 함께 기억된다. 

3) 등록부를 매 개 보안준위 용구획 ( partition ) 들로 나눈다. 파일 이 름들은 그의 보안준 
위에 대 응하는 구획에 넣어 진 다. 

이 상의 3가지 선택 방안들 각각의 보안 및 리 용가능성련관을 해 석 하시 오. 

7. 보안핵심 이 없이 보안을 가질수 있는가? TCB 와 같이 보안핵심을 가지는것의 우점과 
결함을 말하시오. 

8. 임무들의 구분，추상자료형，원시조작과 갈은 세가지 원리들이 안전체계를 구축하는 
데 어떻게 적용되는가를 보여 주는 실례들을 들어 보시오(원시조작은 보안을 유지하 
기 위해 단번에 수행되 여 야 한다. 만일 그것 이 새 치기되면 체계 는 불안정한 상태 로 
떨어 질수 있다). 

9. 어떤 체계 에 가입할 때 사용자는 자기의 신원 ( Identity ) 을 가지고 실행되는 처 리를 
시작한다. 사용자가 체계에서 탈퇴 (logged off ) 한후에도 라용자의 신원을 가진 처리 
들이 실행을 계속할수 있는가? 자신이 리용하는 조작체계에서 이 문제를 조사하시오. 
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제 2 편. 실 천 
제6장. Unix 보안 


지금까지는 개별적인 보안기구들을 고립적으로 보았다. 그러나 실천에서는 그것들이 
서로 의존한다. 실례로 접근조종과 인증은 서로 협동해야 하며 서로 다른것이 없이는 효 
력을 내지 못할것이다. 여기서는 조작체계가 제공하는 보안기구에 주의를 돌리기로 한다. 
여기서는 Unix 를 실례로 들어 보안기구에 대하여 구체적으로 조사한다. 


목적 

• 전형적 인 조작체계들이 제공하는 보안특징들을 파악한다. 

• Unix 보안의 기초를 소개 한다. 

• 일반보안원리들이 실제의 체계에서 어떻게 실현되는가를 본다. 

• 부단히 변하는 환경에서의 보안관리과제를 정확히 인식한다. 


제1절. 소개 

조작체계들은 정연한 보안조종모임을 제공하기 위해 식별과 인증，접근조종과 검열 
( auditing ) 과 같은 요소블로크 (building block ) 들을 결합한다. 유연하고《특징이 풍부 
한》보안방책을 제공하려고 한다면 보안기구들은 점점 더 복잡해 진다. 이 런 환경에서 
TCB 는 너무 커서 《핵심부 ( kernel )》 에 적합치 않다. 여기서는 앞에서 본 계층모형의 
조작체계준위에서 제공하는 보안조종들을 본다(그림 6-1). 

조작체계의 보안을 평가할 때 다음과 같은 문제들이 제기된다. 

• 어떤 보안특징들이 실현되여 있는가? 

• 이 보안특징들을 어떻게 관리할수 있는가? 

• 보안특징이 유효하다는 담보가 있는가? 

널리 보급된 조작체계들에는 보안조종을 조직하는 일반적인 형식이 있다. 사용자(주 
동체 ) 들에 대 한 정 보는 사용자등록자리 에 기 억된다. 

사용자에게 부여된 임의의 특권들은 이 등록자리에 기억되게 된다. 식별과 인증은 
사용자의 신원을 확인하는것인데 이것은 체계가 사용자의 특권과 사용자에 의해 시작되 
는 어떤 처리를 련결시키도록 한다. 자원(객체)에 대한 허락은 체계관리자 또는 그 자원 
의 소유자에 의해 설정된다. 조작체계는 어떤 사용자의 접근요구를 허가할것인가 아니면 
거절할것인가를 결정할 때 사용자의 신원，사용자의 특권 그리고 그 객체에 대한 허가들 
을 참고할수 있다. 
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그림 6-1. 조작체계에서 보안 

보안은 권한이 없는 작용들을 막을뿐아니라 이러한 작용들을 검출도 한다. 우리는 
공격 자들이 보안기 구주위 에 서 맴 돌수 있 다는 사실 에 주의해 야 한다. 보안위 반을 조사하 
든가 공격시도를 추적할수 있도록 사용자들이 진행한 행동리 력을 보관하는 대 책을 취 해 
야 한다. 때문에 조작체계는 보안관련사건들의 검열기록(검열궤적)들을 보관하고 보호하 
여 야 한다. 

끝으로 조작체 계 에 최 상의 보안특징 들이 있 다 해 도 그것 을 적 절 하게 리용하지 않는 
다면 그 특징들은 가치를 잃어 버리게 된다는것을 강조한다. 체계는 안전한 상태에서 기 
동하여야 하며 따라서 조작체계의 설치와 구성은 매우 중요한 문제로 된다. 적당치 못한 
기 정설정 은 보안을 약화시키 는 주요한 원 인으로 될수 있다. 조작체 계 는 매 우 복잡하고 
부단히 갱신되는 쏘프트웨어체계이며 따라서 새로운 갱신판마다 새로운 약점이나 결함이 
발견되군 하는것 이 보통의 일이 다. 때문에 각성 있는 체계관리자들은 CERT (콤퓨터비상 
사태대응림 - computer emergency response teams ) 의 보안에 관한 권고를 참작하여 현 
재의 수준에서 크게 비 약하지 말아야 한다. 

조작체계보안의 골격에 대하여 다음과 같은 순서로 보기로 한다. 

• 가입과 사용자등록자리 

• 접 근조종 

• 검 열 ( audit ) 

• 구성 및 관리 


이 장에서는 Unix 조작체 계의 보안특징들을 조사한다. 

Unix 는 그의 설계력사로 하여 믿음성이나 보안에서 좋은 평가를 받지 못하였다 [10 幻. 
그러나 적절히 리용한다면 아주 효과적인 보안특징모임을 제공한다. Unix 에는 일부 전문 
사항들과 보안조종을 실 행하는 수법 들에 서 차이 나는 여 러 가지 판본들이 있 다. 따라서 
Unix 보호를 규격 화하려 는 시 도들이 제 기 되 였 다. Unix 체 계 와의 공통적 인 대 면을 정 의 하 
는 규격인 POSIX 1003계렬에서 POSIX 1003. 6이 보안공정들을 취급한다. 이 장은 Unix 
보안에 대한 완벽한 소개나 Unix 체계보안설치에 대한 지도서가 아니다. 그래서 Unix 보 
안의 기초와 일반적 인 관심사로 되는 점들을 례증하는 보안특징의 일부만을 강조하는것 
으로 그치기로 하였다. 이 책에서 취급하는 Unix 보안의 분야는 아직 사람-기계의 척도에 
서 놓고 볼 때 기계쪽으로 더 치우쳐 있다(그림 6-2). 
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특정하고 
복잡하며 
사용자에 주목 


간단하며 
자료에 주목 



사람지향 기계지향 


그림 6-2. 사람 - 기계척도에서 Unix 보안 


제2절. Unix 보안구성방식 

대부분의 안전한 조작체계들은 보안이 어떻게 실시되며 보안관련자료들이 어디에 보 
관되 는가를 설 명 하는 보안구성 방식 ( architecture ) 을 가지 고 있지 만 Unix 는 판본들을 
가지치기하거나 집중시켜 온 력사를 가지고 있다. 이것은 원래의 설계목적이라기보다 요 
구가 제기될 때마다 필요한 보안특징들을 Unix 에 추가하군 하였다는것을 보여 주고 있 
다. Unix 가 발전함에 따라 새로운 보안조종이 체계에 추가되였으며 이미 있던 조종기 
능들이 강화되였다. 설계자들은 새로운 특징을 추가할 때 현존하는 Unix 구조에 될수록 
적게 간섭하도록 하였다. 


제3절. 가입과 사용자등록자리 

■nix 에서 사용자들은 사용자이름에 의하여 식별되며 통과암호에 의하여 인증된다. 
많寒 Unix 체계들에서 통과암호는 8문자까지로 제한된다. 통과암호들은 모두가 령인 블 
로크를 시작값으로 하고 통과암호를 열쇠로 하여 약간 수정된 DES 알고리듬을 25번 반 
복하는 crypt(3) 알고리듬으로 암호화한다. 암호화된 통과암호들은 /etc/passwd 파일안 
에 보관된다. 이 파일의 기 입 항목은 다음과 같다. 

사용자이름: 암호화된 통과암호 : 사용자 ID : 그룹 ID : ID 문자렬: 홈 
등록부: 가입쉴 

ID 문자렬마당은 사용자의 완전이름 (full name ) 을 포함한다. 사용자 ID 와 그롭 ID 
는 이 장의 뒤부분에서 설명한다. 마지막 두개의 마당들은 사용자의 홈등록부와 가입에 
성공한 사용자가 리용할수 있는 Unix 쉘들을 명기 한다. 체계가 취하는 행동들은 
/etc/profile 파일안에 기록된다. 사용자고유의 설정들은 사용자홈등록부안의 .profile 안 
에 정의된다. 사용자가 제일 마지막으로 가입한 시간은 /usr/adm/lastlog 파일에 기록되 
며 finger 지령으로 꺼내볼수 있다. cat/etc/passwd 나 less/etc/passwd 로 통과암호파 
일을 현시하면 다음과 갈은 항목들을 볼수 있다. 
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dieter : RT. QsZEEsxT92 : 10026 : 53 : Dieter Gollmann : /home/staff/dieter : 

/usr/local/bin/bash 

사용자의 통과암호마당이 비 여 있으면 사용자는 가입할 때 통과암호를 주지 말아야 
한다. 통과암호마당이 《*》기호로 시 작되면 사용자는 가입 할수 없다. 왜 냐하면 평문통 
과암호에 한방향함수를 적용한 결과는《*》로 시작될수 없기때문이다. 이것은 사용자의 
등록자리를 금지시키는 가장 일반적인 방법이다. 

통과암호는 passwd ( l ) 지령으로 변경시킬수 있다. 먼저 낡은 통과암호를 입력할것을 
요구한다. 이것은 사용자이외의 다른 사람이 통과암호를 변경시키지 못하게 한다. 통과 
암호를 입력할 때 문자들이 화면에 나타나지 않으므로 확인하기 위해 새 통과암호를 두 
번 입력할것을 요구한다. 이때 두번의 입력이 일치해야 한다. 통과암호를 변경시킨후 다 
시 가입하거나 또는 su ( l ) (사용자설정)지령으로 변경의 효과를 확인할수 있다. 

보안을 의식한 Unix 의 판본들은 보다 개선된 통과암호보안대책들도 제공한다. 통과 
암호는 절임되거나 그림자통과암호파일 /. secure / etc / passwd 안에 보관된다. 통과암호 
선택실습은 약한 통과암호를 사용하지 않도록 도움을 준다. 낡은 통과암호의 재리용을 
통제 하며 통과암호에 유효기 간을 설정 할수 있다. 또한 뿌리 가입은 / etc / ttys 안에서 지정 
한 말단으로 제한할수 있다. 제 3 부류의 Unix 보안제품들도 류사한 보안봉사를 제공한다. 

1. 사용자와 특권사용자 

:_ nix 는 8문자까지의 사용자이름으로 사용자를 나타내며 내적으로는 16 bit 수의 사용 
자 ID ( UID ) 로 표현한다. UID 들은 / etc/passwd 안에 있는 사용자이름과 련결된다. 
Unix 는 갈은 UID 를 가지는 사용자들을 구별하지 못한다. 특수한 의미를 담고 있는 일 
부 UID 들을 그림 6-3 에 보여 준다. 


-2 

nobody 

0 

root 

1 

daemon 

2 

uucp 

3 

bin 

4 

games 

9 

audit 


그림 6-3. 특수한 사용자 ID 

매 Unix 체계에는 특별한 권한을 가진 하나의 사용자-특권사용자가 있다. 이 특권사 
용자는 UID 0 을 가지 며 보통 뿌리 (root) 라는 사용자이 름을 가진다. 뿌리 등록자리 는 검 
열 기 록을 만드는 가입 이 나 I 八)장치 호출과 같은 주요한 본질 적 인 과제 들을 위하여 조작 
체계가 리용한다. 특권사용자에 대해서는 거의 모든 보안검열들이 무시된다. 체계관리과 


85 






제를 수행하기 위해서는 뿌리등록자리가 요구된다. 체계관리자는 뿌리를 자기의 개인등 
록자리로 리용하지 말아야 한다. 뿌리에로의 변경은 사용자이름을 명기하지 않고 필요할 
때 /bin/su 를 입력하여 요구할수 있다. 

특권사용자는 거의 모든것을 할수 있다. 실례로 특권사용자는 임의의 다른 사용자로 
될수 있다. 특권사용자는 체계박자도 변경시킬수 있다. 특권사용자는 자기에게 적용된 
일부 제한들을 회피할수 있다. 실례로 특권사용자는 읽기만으로 설치된 파일체계에 쓰기 
할수는 없지만 그 파일체계를 해체하고 쓰기용으로 다시 설치할수 있다. 그러나 특권사 
용자도 crypt 가 한방향함수이므로 통과암호는 해득할수 없다. 

특권사용자가 이처럼 많은 권한을 가지는것은 Unix 의 주요약점으로도 된다. 특권사 
용자상태를 획득한 공격자는 전반체계를 쉽게 장악할수 있다. 따라서 특권사용자상태에 
대한 접근을 통제하는데 주의를 돌려야 한다. /etc/passwd 와 /etc/group 파일들은 쓰 
기보호되여야 한다. /etc/passwd 를 편집할수 있는 공격자는 자기의 UID 를 0으로 변경 
시킴으로써 특권사용자로 될수 있다. 특권사용자로 되기 위하여 /bin/su 를 리용하는것 
은 조작체계 가 어떤 다른 등록부에 삽입된 이의 판본을 참조하는것을 막는다. 검열기록 
에 는 SU 지 령 을 제 줄하는 사용자와 모든 SU 시 도들을 기 록하여 야 한다. 망을 취 급하는 
UUCP 나 daemon 파 같은 특수한 사용자들에게 체계관리자의 임무를 분담시킴으로써 그 
중 어느 한 사용자가 손상되였다고 해도 체계전반이 손상되지 않게 한다. 

2. 그룹 

사용자들은 한개 또는 그이상의 그룹들에 속한다. 사용자들을 그룹으로 묶는것은 접 
근조종을 편리하게 한다. 실례로 전자우편에 접근할수 있도록 허락된 모든 사용자들을 
mail 이라는 그롭로 묶을수 있고 또 operator 라는 그룹안에 모든 조작자들을 넣을수 있 
다. 매 사용자들은 1 차그룹 (primary group ) 에 속한다. 1 차그롭의 그룹 ID ( GID ) 는 
/etc/passwd 안에 보관된다. /etc/group 파일은 모든 그룹들의 목록을 포함한다. 이 
파일의 기입항목들은 다음의 형식을 가진다. 

그룹이름: 그룹통과암호: GID : 사용자목록 

실례로 기입항목 

infosecwww : * : 209: chez , af 

는 infosecwww 그룹이 금지된 통과암호를 가지며 GID 는 209이 고 chez 와 af 라는 2명 
의 성원을 가진다는것을 보여 준다. 그림 6-4 는 특수한 의미를 가지는 그룹 ID 들을 보여 
준다. 

System V Unix 에서 어느 한 시점에서 사용자는 하나의 그룹에만 속할수 있다. 
현재그룹은 newgrp 지령으로 변경시킨다. 사용자들이 그들이 이미 성원으로 있는 그룹 
에로 변경하는것은 자유이다. 그러나 사용자들이 자기가 성원으로 속해 있지 않은 그룹 
에로 변경하려고 시도한다면 newgrp 는 통과암호를 요구하고 입력한 그롭통과암호가 정 
확한 경우에만 림시적인 성원자격을 준다. Berkeley Uinx 에서는 한 사용자가 한개이 
상의 그룹들에 속할수 있기때문에 newgrp 지령이 필요 없다. 
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그림 6-4 .특수한 그롭 ID 들 

3. 사용자 ID 설정과 그룹 ID 설정 

통제된 호출에 대한 문제를 보기 로 하자. Unix 에서 어떤 조작체계기능을 실행하려 
면 특권사용자의 특권을 가져 야 하지만 사용자들에게는 특권사용자의 상태를 주지 말아 
야 한다. 량쪽의 요구를 다같이 맞추는 방법을 찾아 내야 한다. Unix 에서는 이를 위해 
사용자 ID 설정 프로그람 ( SUID ) 과 그롭 ID 설정프로그람 ( SGID ) 을 사용한다. 이 프로그람 
들은 그 소유자 또는 그룹의 유효한 사용자 ID 나 또는 그룹 ID 를 가지고 실행시키는데 
이때 다른 사용자들이 정상적으로는 호출할수 없는 파일들을 림시적으로 또는 제한적으 
로 호출할수 있게 해 준다. SUID 프로그람의 소유자는 뿌리 이 며 이 프로그람을 실 행하는 
사용자는 실행기 간에 특권사용자의 상태 를 얻게 된다. 중요한 SUID 프로그람들은 다음 
과 같다. 

/ bin/passwd 통과 암호 변경 
/ bin/login 프로그람가입 

/ bin/at 묶음일감제출 

/ bin/su UID 프로그람의 변경 

여기 에 주의해 야 할 문제 가 있다. 사용자가 SUID 프로그람을 실행하는 동안 프로 
그람소유자의 특권을 가지기때문에 이 프로그람은 오직 소유자가 의도한것만을 해 야 한 
다. 이것은 뿌리에 소속된 SUID 프로그람에 대해서는 특별히 중요하다. SUID 프로그람 
의 실행을 중단시키고 그의 기능을 변경시킬수 있는 공격자는 특권사용자의 자격을 요구 
하는 행동에 착수하며 공격 기간에뿐아니 라 다른 기회 에도 특권사용자의 자격 을 얻을수 
있도록 체계를 변경시킬수 있다. 이로부터 위험은 사용자호상작용을 하는 SUID 프로그 
탐에서 발생된다고 볼수 있다. 특별한 함정은 특권사용자로서 실행 하고 있는 기간에 사 
용자에게 쉴지령을 호출할수 있게 해주는 멜확장 (shell escapes ) 이다. 프로그람들은 오 
직 실제로 필요한 때에만 SUID 상태를 가져야 한다. 체계관리자들은 SUID 프로그람의 
완정 성 을 특별 히 주시해 야 한다. SUID 프로그람들이 공격 에 성 공적 으로 리 용된 두가지 
실 례연구가 [55] 에 있 다. 
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제 4 절. 접근조종 

접근조종은 사용자들의 특성과 파일， I/O 장치，기 억기 등과 갈은 자원들의 속성에 
기초한다. 표준 Unix 체계는 소유자，그룹，전체 ( world ) 의 개념을 도입하여 자유접근조 
종을 편리하게 한다. 특권사용자들은 이러한 류의 접근조종에 구애되지 않는다. Unix 는 
파일과 장치들을 구별하지 않으며 모든 자원들을 유일한 방법으로 취급한다. 

1. Unix 과일구조 

'. fnix 는 파일들과 등록부들이 포함되 여 있는 나무구조의 파일 체 계안에 파일들을 배 
치 한다. 등록부안에서 매 파일기 입 항목들은 이노드 ( inode ) 라고 부르는 자료구조에 로의 
지 시 자이다. 그림 6-5 는 이 노드안에 서 접 근조종과 관계 되 는 마당들을 보여 준다. 매 등 
륵부는 자기 자신에 로의 지 시 자 ( 《 . 》파일 에 로의 지 시 자)와 자기 어 미 등록부에 로의 지 시 자 
(《..》파일에로의 지시자)를 포함한다. 매 파일은 소유자를 가지는데 보통 소유자는 파 
일을 창조한 사용자이 다. 매 파일은 어느 한 그롭에 속한다. Unix 관본에 따라 새롭게 
창조된 파일은 그의 창조자의 그룹이든가 아니면 그의 등록부의 그롭에 속한다. 이노드 
안의 마당들을 론하기전에 지령 Is -1 로 등록부를 조사하여 다음의 목록을 얻는다. 


- rw - r — r — 1 dieter staff 1617 oct 28 ll：ol adcryp.tex 


-2 dieter staff 512 oct 25 17:44 ads / 


여기에는 다음과 같은 정보가 포함되여 있다. 


mode 

파일형과 접근권한 

uid 

파일을 소유한 사용자 

gid 

파일을 소유한 그룹 

atime 

접근시간 

mtime 

변경 시간 

itime 

이 : 노:드변경 

block count 

파일 크기 


물리적위치 


그림 6-5. 이노드안의 선택된 마당들 

• 첫 문자는 파일의 형태를 준다.《-》는 한개의 파일， 《 d 》 는 등록부， 《 b > 는 블로 
크형장치파일， 《 c 》 는 문자형 장치 파일을 나타낸다. 

• 다음 9개 문자들은 아래 에서 론하는 허 가 ( permission ) 를 나타낸다. 
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• 그뒤의 수자마당은 파일 에 로의 련결수를 세는 련결계수기 (link counter ) 마당이 다. 

• 그다음 두개의 마당들은 파일의 소유자와 그룹의 이름마당들이다. 

• 그다음은 바이트단위의 파일크기 이 다. 

• 시간과 날자는 마지막으로 수정한 시간인 mtime 이 다. ls _ lu 는 마지막접근시간인 
atime 을 현시한다. ls _ lc 는 이노드를 마지막으로 수정한 시간인 itime 을 현시한다. 

• 마지막기 입 항목은 파일의 이름이 다. ads 다음의 《/》기 호는 등록부를 의미 한다. 

파일 허 가(허 가비 트들)는 소유자，그룹，기 타를 위 한 읽기，쓰기，실 행 접근을 정의 하 
는 9개의 그룹들로 각각 묶어 진다. 《-》는 권한이 없다는것을 나타낸다. 따라서 rw - 
r — r — 는 소유자에게 읽기와 쓰기접근을 주고 그룹와 기타에는 읽기접근을 주며 rwx — 
은 소유자에게는 읽기，쓰기, 실행접근을 주고 그룹와 기타에는 아무런 권한도 주지 
않는다. 

Is -1 이 SUID 프로그람을 현시하면 여기서는 소유자의 실행허가가 x 대신에 s 로 주어 
진 다. 

- rws — X — 3 root bin 16384 Nov 16 1996 passwd * 

Is -1 이 SGID 프로그람을 현시하면 여 기서는 그룹의 실행허 가가 x 대 신에 s 로 주어 
진 다. 

허가비트들은 다음의 순서로 검사된다. 

• 만일 uid 에 파일의 소유자로 되 여 있으면 소유자에 대 한 허 가비트들은 사용자가 그 
파일에 접근할수 있는가 없는가를 결정한다. 

• 만일 파일의 소유자는 아니지만 gid 에 그롭이 파일을 소유한것으로 되여 있으면 그룹 
에 대한 허가비트들은 사용자가 그 파일에 접근할수 있는가 없는가를 결정한다. 

• 만일 파일의 소유자도 아니고 파일을 소유한 그룹이나 성원도 아니면 기타에 대한 
허가비트들이 사용자가 그 파일에 접근할수 있는가 없는가를 결정한다. 

허가비트들을 설정 함으로써 파일소유자가 다른 사용자들보다 더 적게 접근 
A 하도록 할수 있다. 뜻밖일수 있지만 이 사실은 또한 하나의 일반적 인 귀중 
한 교훈으로 된다. 어떤 접근조종기구에 대 하여 서로 다른 접근기준이 어떤 
순서로 검사되는가를 명백히 알아야 한다. 


2. 허가의 변경 


파일의 허 가비 트는 파일 의 소유자 또는 특권사용자만이 실 행할수 있는 chmod 지 령 
으로 변화시킬수 있다. 이 지령형식은 다음과 갈다. 
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chmod[-fR] absilute file 모든 허 가비 트들에 값들을 준다. 

chmod [-fR] [who]+pernisson file 허 가를 추가한다. 
chmod [-fR] [who] -pernisson file 허 가를 제거 한다. 
chmod [-fR] [who] =pernisson file 지 적 한대 로 허 가를 재 설 정 한다. 

절대방식 에서는 파일허 가를 8진수로 직 접 서술한다. 이 수들은 그림 6-6 으로부터 
결정된다. 권한들의 조합은 대 응하는 수자들의 합이다. 실례 로 허 가 rw - r -- r _ 는 지 
령 chmod 644 로 설정 한다. 지 령 chmod 777 은 소유자，그룹，기 타에 게 모든 권한을 
준다. 


4000 

사용자 ID 를 실행으로 설정 

2000 

그룹 ID 를 실행 으로 설정 

1000 

고정비트를 설정 

0400 

소유자에 의 한 읽기 

0200 

소유자에 의한 쓰기 

0100 

소유자에 의한 실 행 

0040 

그룹에 의한 읽기 

0020 

그룹에 의 한 쓰기 

0010 

그룹에 의 한 실행 

0004 

기타에 의한 읽기 

0002 

기 타에 의한 쓰기 

0001 

기 타에 의한 실 행 


그림 6-6. 접근허가의 8진수표현 

기 호방식 에서 는 현재파일 허 가들이 변경 된다. who 파라메터 는 다음의 값들을 가질 
수 있다. 

u 소유자허 가를 변경시 킨다. 
g 그룹허가를 변경시킨다. 
o 기타허가를 변경시킨다. 
a 모든 허가를 변경시킨다. 

허가파라메터는 다음의 값들을 취할수 있다. 

r 읽기허가 
w 쓰기허가 

X 파일 에 대 한 실행허 가，등록부에 대 한 탐색허 가 

X 만일 파일이 등록부이거나 적어도 한개의 실행비트가 설정되였을 때에만 실행 
허가 

s 사용자 ID 설정허가 또는 그룹 ID 설정허가 
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t 본문보존허 가(고정 비트설정) 

-f 선택 항목은 오유통보문을 표시 하고 -R 선택 항목은 현재등록부의 모든 부분등록 
부들에 지정된 변경들을 재귀적으로 적용한다. 프로그람의 SUID 허가는 다음과 같이 설 
정할수 있 다. 


chmod 4555 file 
chmod u+s file 
chmod 555 file 
chmod u-s file 


SUID 기발설정 
SUID 기발설정 
SUID 기발지우기 
SUID 기발지우기 


GUID 허 가는 u 선택 항목대 신에 g 를 리 용하여 설 정할수 있 다. 
chown 지령은 파일의 소유자를 변경시키며 chgrp 지령은 파일의 그룹을 변경시킨 
다. chown 지 령 은 환영할수 없는 SUID 프로그람의 잠재 적 인 원천 으로 될 수 있 다. 사용 
자는 SUID 프로그람을 만들어 놓은 다음 소유자를 뿌리로 변경시킬수 있다. 이러한 공 
격을 방지하기 위해 특권사용자만이 chown 지령을 실행하도록 하고 있다. 어떤 판본들 
은 사용자가 자기의 파일들에 chown 지령을 적용하게 하며 SUID 와 SGID 비트들을 제 
거한 chown 을 가진다. chgrp 지령도 이와 류사하다. 


3. 기정허가 

편집기나 콤파일러와 같은 Unix 편의 프로그람 ( utility ) 들은 표준적으로 새로운 파 
일을 창조할 때에는 기정허가 666을 리용하며 새로운 프로그람을 창조할 때에는 기정 
허가 777을 리 용한다. 이 허가들은 umask 지령에 의 하여 후에 조절 할수 있 다. 
umask 는 금지 해 야 할 권한들을 렬 거 하는 3자리 8진수이 다. 따라서 umask 777 모든 
접 근을 금지 하며 umask 000은 아무런 제 한도 주지 않는다. 실용적 인 기정 설정 값들은 
다음과 같다. 

022 소유자에 대한 모든 허가，그룹과 기타에 대한 읽기와 실행허가; 

037 소유자에 대한 모든 허가，그룹의 읽기허가，기타에 대한 허가금지; 

077 소유자에 대 한 모든 허 가，그룹와 기 타에 대 한 허 가금지 . 

실제의 기정허가는 Unix 봉사프로그람의 기정허가를 umask 로 마스크 하여 끌어 낼 
수 있다. 즉 기정허가의 비트들과 umask 의 반전비트의 론리곱하기를 진행한다. 실례로 
기정 허 가 666과 umask 077은 

0 6 6 6 

AND NOT (0 0 7 7) 

0 6 0 0 

로 되여 파일소유자에게 읽기와 쓰기접근이 허락되며 다른 모든 접근은 금지된다. 

umask 는 

umask [-S] [mask] 

지령으로 변화시킬수 있다. 여기서 기발 - S 는 기호방식을 의미한다. 마스크가 지적 
되지 않으면 현재의 umask 가 현시된다. 
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/etc/profile 안의 umask 는 체 계 전 반의 기 정 설 정 을 정 의 한다. 이 기 정 설 정 들은 
특별한 Unix 설치 방법 에 의존하는데 /etc/profile, profile, login, 혹은 .cshrc 와 
갈은 파일안에 있는 사용자의 홈등록부안에 umas k 를 설정 함으로써 개 별적 사용자에 
대하여 취소할수 있다. VMS 와 갈은 다른 조작체계와는 달리 등록부들에 대한 개별 
적 인 기정 허 가들을 정의할수 없으며 파일들이 다른 등록부로부터 자기의 허 가를 계승 
하도록 하였다. 

복사지 령 cp 를 리용하여 새로운 파일을 만들 때 그 파일의 허가는 umask 로부터 유 
도된다. mv 지령을 리용하여 현존하는 파일의 이름을 변경하여 새로운 파일을 만들 때에 
는 현존하는 허가를 그대로 유지한다. 

4. 등록부에 대한 허가 

매 사용자는 /home/staff/dieter 와 갈은 홈등록부를 가진다. 부분등록부는 mkdir 
지령으로 만든다. 사용자가 등록부안에 파일들과 부분등록부들을 배치하자면 그 등록부 
에 대한 정확한 파일허가를 가져야 한다. 

• 읽기허가는 Is 또는 그 비슷한 지령들을 실행하여 등록부안에 어떤 파일들이 있는가 
를 알아 내게 한다. 

• 쓰기허가는 등록부로부터 파일을 추가하거나 삭제하도록 한다. 

• 실행허가는 현재등록부에 등록부를 만들고 등록부안의 파일을 열게 한다. 만일 파일 
이 존재한다는것을 알면 그 등록부안에서 그 파일을 열수 있지만 그 등록부안에 무 
엇이 있는가를 보기 위하여 Is 명령을 사용할수는 없다. 

따라서 자기가 소유한 파일에 접근하려면 등록부안에서의 실행허가가 필요하게 된 
다. 다른 사용자들이 자기의 파일들을 읽어 보는것을 막자면 접근허가를 적절히 설정 
하든가 또는 등록부에로의 접근을 막아야 한다. 파일을 지우자면 등록부에 대한 쓰기 
접근과 실행접근이 필요할뿐 파일 그자체에 대한 어떤 허가도 요구되지 않는다. 파일 
은 지어 다른 사용자의것이여도 무방하다. 이 특징에 관한 체계관리자의 의견을 인용 
하면 


만일 당신이 노력하여 누군가의 등록부안에 영구적 인 파일을 설치하려면 고 
통스러울것 이다. 

Unix 의 초기 판본들의 유물은 고정비 트이다. 이 비 트는 프로그람의 본문토막이 처 
음으로 리용된 다음 가상기 억기 안에 남아 있도록 한다. 따라서 체계는 페지화구역안으 
로 자주 접근되는 프로그람들의 코드전송을 피하게 하였다. OSF /1 에서는 이 허가를 
지정할수 있으나 효과가 없다. 고정비트가 설정된 상태에서 ls-1 지령으로 파일을 현시 
하면 x 대 신 t 가 기 타에 대 한 실행허 가로 나타난다. 만일 어떤 등록부의 고정비트를 설 
정 하면 그안에 서 의 지 우기 가 제 한된다. 고정 ( sticky ) 등록부안의 항목은 사용자가 그 
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등록부에 대한 쓰기허가를 가지며 또 사용자가 해 당 파일이 나 그 등록부의 소유자이거 
나 또는 특권사용자인 경우에만 지우거나 이름변경을 할수 있다. 


제5절. 일반적인 보안원리들의 실례 

이 절에서는 앞에서 본 일반적인 보안원리들이 실천에서 어떻게 쓰이는가를 Unix 
를 통하여 보기 로 한다. 

1 . 통제된 호출 

통과암호라든가 구성파일과 같이 많은 사용자들이 접근할수 있는 민감한 자원들은 
소유권，허 가비 트, SUID 프로그람의 개 념 들을 결 합한 통제 된 호출 (Controlled 
Invocation ) 기구를 리 용하여 보호할수 있 다. 

• 자원과 그 자원에 접근할 필요가 있는 모든 프로그람들을 소유한 새로운 UID 를 창 
조한다. 

• 자원에 대하여서는 반드시 그의 소유자에게만 접근허가를 준다. 

• 자원에 접근하는 모든 프로그람들을 SUID 프로그람으로 정의한다. 

A 지 나친 보호를 주의할것 . 만일 어떤 파일에 대 한 사용자의 직접접근을 금지 
ᆻ 시켰다면 SUID 프로그람을 통한 간접접근을 제공해 주어 야 한다. 원만치 못 
한 SUID 프로그람은 명백하게 지 적된 허 가비트들보다 사용자에 게 더 많谷 
직 접접근기회 를 조성해 준다. 이 것은 자원과 SUID 프로그람의 소유자가 뿌 
리와 같은 특권사용자인 경우에 성립된다. 

여기서는 또한 안전체계설계에서 자주 제기되는 처리의 실례들도 취급한다. 체계에 
서 는 자료구조에 의하여 추상적 인 속성 을 표현한다. 이 자료구조는 여 러 가지 목적 으로 
다른 보안기구들에서도 리용된다. UID 는 체계안에서 실제적인 사용자를 나타내기 위하 
여 도입되였다. 그러나 지금 UID 는 실제적인 사용자가 아니라 새로운 종류의 접근조종 
을 위 하여 리 용된 다. 제 6장 6절 1에 서 는 이 러 한 설 계 결 심 들에 서 발생 할수 있는 문제 들을 
보여 준다. 

2. 과일지우기 

흥미 있는 화제번호 2： 론리적 및 물리적기억구조. 

만일 파일체계에서 어떤 파일을 지운다면 어떻게 되겠는가? 그 파일이 여전히 어떤 
형태로 남아 있겠는가? 

Unix 에는 파일을 복사하는 두가지 방법 이 있다. 내용은 동일하나 독립적으로 존재 
하는 복사본을 창조하는 cp 지 령과 함께 원본파일에 로의 지시 자를 가지는 새 로운 파일 이 
틈을 만들고 원본파일의 련결계수기 (link counter ) 를 증가시 키는 (link, In) 지 령 이 있다. 
둘째 방법에서 새 파일은 원본파일과 내용을 공유한다. 만일 원본파일이 rm 또는 rmdir 
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에 의하여 지워 지면 그 파일은 어미등록부에서 나타나지는 않지만 그의 복사본은 물론 
내용도 여전히 존재한다. 사용자는 파일들이 여전히 다른 등록부에 존재하고 자기가 그 
것을 소유하고 있음에도 불구하고 파일을 지 웠다고 생각할수 있다. 만일 어떤 파일을 지 
웠다고 담보하려면 특권사용자는 ncheck 를 실행시켜 그 파일에로의 모든 련결들을 현시 
한 다음 그 련결들을 모두 지워야 한다. 한편 다른 처리가 그 파일을 열어 놓은 경우에 
는 그의 소유자가 제거한다 해도 그 파일은 그 처리가 파일을 닫을 때까지 존재해 있게 
된 다. 

일단 파일이 기 억공간에서 지워 졌다면 그 기 억공간은 다시 리용할수 있다. 그러나 
이 기억장소가 실제로 다시 리용될 때까지 여전히 파일내용을 포함하고 있다. 이러한 잔 
류기 억을 피 하자면 파일을 지우기전에 파일의 내용을 모두 0으로 지우든가 또는 기 억매 
체에 적 당한 다른 내용을 써넣어 야 한다. 


3. 장치의 보호 


다음의 화제 는 여 전히 론리 기 억 구조와 물리 기 억 구조사이 의 차이 에 관계된 다. Unix 
는 장치를 파일처 럼 취급한다. 따라서 기 억기 에 대 한 접근이 나 인쇄기에 대한 접근은 허 
가비트의 설정을 통하여 파일에 대한 접근과 비슷하게 조종할수 있다. 장치들은 뿌리에 
의해서만 실행할수 있는 mknod 지령을 리용하여 만든다. /dev 등록부안에서 공통적으 
로 보게 되는 장치들의 작은 표본은 다음과 같다. 


/ dev/console 

/ dev/mem 

/ dev/kmem 

/ dev/tty 


조종 탁말단 

주기억사영장치(물리기억기의 영상) 

핵 심부기 억사영 장치(가상기 억 기의 영상) 
말단 


공격 자가 파일들을 포함하고 있는 기 억장치에 접근할수 있다면 파일과 등록부에 설 
정된 조종을 우회할수 있다. 만일 기억기에 대한 읽기 또는 쓰기허가비트들이 전체에 대 
해서 설정되면 공격자는 이 기억기에 보관된 파일에 정의된 허가의 영향을 받지 않고 기 
억기를 열람하거나 자료를 수정할수 있다. 때문에 거의 모든 장치들은 기타에 의하여 읽 
을수도 쓰기할수도 없게 되여야 한다. 

처 리상태지 령 ps 와 같은 지 령들은 기 억기 리 용에 대 한 정 보를 현시 하며 따라서 기 억 
기장치에 대한 접근허가를 요구하게 된다. 뿌리프로그람에로의 SUID 토서 ps 를 정의하 
면 ps 가 필요한 허가를 얻게 하지만 ps 지령의 손상은 공격자가 뿌리특권을 가지게 한다. 
보다 더 좋은 해결책은 SGID 프로그람으로서 ps 를 취급하며 그룹 mem 이 기억기장치를 
소유하게 하는것이다. 

tty 말단장치는 또 하나의 흥미 있는 실례이다. 사용자가 가입할 때 말단파일은 사용 
자에게 할당되며 작업 이 끝날 때까지 사용자가 그 파일의 소유자로 된다(말단파일이 리 
용되지 않으면 뿌러가 소유한다). 이 파일을 기 타가 읽을수도 쓸수도 있게 만들어서 사 
용자가 기타부분으로부터 통보를 밤도록 하면 편리하다. 그러나 이것은 결함이 있다. 기 
타부분들이 사용자의 통과암호를 잠재적으로 포함하고 있는, 말단으로 들어 오고 나가는 
모든 통신량을 감시할수 있다. 그들은 실례로 기능건을 재프로그람하여 사용자의 말단에 
로 지령 등을 보낼수 있으며 이러한 지령들은 사용자가 모르게 실행될수 있다. 일부체계 
들에서 지능말단들은 일부 지령들을 자동적으로 수행한다. 이것은 공격자에게 다른 사용 
자의 특권을 리용하는 지령들을 제출할수 있는 기회를 준다. 
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4. 파일체계의 설치 

만일 체계에 여러가지 보안령역이 있고 어느 한 령역이 다른 령역으로부터 객체를 
받아 들일 때에는 그 객체의 접근조종속성을 재정의해야 한다. 

Unix 파일체계는《/》로 표시되는 하나의 뿌리 아래 에 서 로 다른 물리적 인 장치들에 
보관된 파일체계들을 련결하여 구축된다. 이것은 mount 지령으로 진행한다. 망이 설치 
된 환경 에서 원격파일체계는 망의 다른 마디 로부터 설치 할수 있다. 류사하게 사용자들은 
자기 의 유연성 자기 원관으로부터 파일체 계 를 설 치할수도 있 다. 

만일 보안전문가라면 경고를 울리기 시작할것이다. 설치된 파일체계는 례하면 공격 
자의 등록부에 들어 있는 뿌리프로그람들에로의 SUID 와 같은 모든 종류의 불필요한 파 
일들을 포함할수 있다. 일단 파일체계가 설치되면 공격자는 이 프로그람을 실행시켜 특 
권사용자의 상태를 얻을수 있게 된다. 기억기에 대한 직접접근이 허락된 장치파일에서도 
위험이 생길수 있다. 여기서 허가들은 공격자가 이 파일들에 접근할수 있게 설정되여 
있다. 때문에 지령 

mount [-r] [-o options ] 장치 등록부 

에서 - r 기발은 읽기전용설치를 지시하며 선택항목은 다음과 갈다. 

nosuid : 설치된 파일체계에서 SUID 와 SGID 비트들을 제거한다. 

noexec : 설치된 파일체계에서 2 진파일들은 실행할수 없다. 

nodev : 블로크 또는 문자전용장치들은 파일체계로부터 접근할수 없다. 

이외에 Unix 의 여러 관본들은 mount 에 대한 여러가지 선택항목들을 실현한다. 

5. 과일체계의 뿌리를 변경 

접근조종은 권한 없는 사용자가 접근할수 없는 위치에 객체를 배치함으로써 실현할 
수 있다. Unix 에서 뿌리변경지령 chroot 는 권한 없는 사용자가 리용할수 있는 파일체 
계의 부분을 제한한다. 이 지령은 뿌리만이 실행시킬수 있다. 

chroot 등록부지령 

이 지령이 실행되면 뿌리등록부를《/》로부터 《등록부》로 변경시킨다. 그때부터 
새로운 뿌리아래 있는 파일들만이 접근가능하다. 만일 이 러한 전략을 리용한다면 사용자 
프로그람이 필 요한 모든 체 계파일 들을 찾아 내 는가를 확인해 야 한다. 이 파일 들은 
/bin, /dev, /etc, /tmp, /usr 같은 등록부들에 있을것으로《예견된다》. 같은 이름 
을 가진 새로운 등록부들을 새로운 뿌리밑에 만들어 놓고 거기에 사용자가 요구할 파일 
들을 원래의 등록부로부터 복사하거나 해당한 원본파일에로의 련결을 지어 주어야 한다. 

6. 탐색경로 

마지막으로 흥미 있는 문제는 《잘못된》위치에서 취한 프로그람의 실행이다. 
Unix 사용자들은 멜(지 령해석기)을 통하여 조작체계와 호상작용한다. 사용자는 파일체계 
내에서 프로그람의 위치를 지적하는 경로이름을 완전히 지정하지 않고 프로그람의 이름 
만을 입 력하여 간단히 프로그람을 실행시 킬수 있다. 이때 멜은 사용자의 홈등록부안 
의 .profile 에 주어 지는 PATH 환경변수에 지정된 탐색 경 로를 따라 가면서 프로그람을 
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찾는다(홈등록부안의 모든 파일들을 보려면 ls - a 를 리용하고 자기의 . profile 을 보려면 
more . profile 을 리용한다). 지적된 이름과 같은 프로그람을 포함하는 등록부가 발견되 
면 람색을 정지하고 그 프로그람을 실행한다. 표준적인 람색경로는 다음과 같다. 실례 : 


PATH=.:$HOME/bin:/usr/ucb:/bin:/usr/bin:/usr/local:/usr/new:/usr/hosts 

이 실례에서 탐색경로안의 등록부들은《:》로 구별한다. 첫 항목《.》는 현재등록 
부이다. 현존하는 어떤 프로그람과 갈은 이 름을 달고 원본프로그람이 있는 등록부보다 
먼저 람색되는 등록부에 배치하는 방법으로 트로이목마를 침입시킬수 있다. 

이러한 공격을 막자면 프로그람을 호출할 때 그의 완전한 경로 실례로 SU 대신에 
bin/su 로 지정하여 야 한다. 같은 문제의 또 다른 표현은 동반비루스의 침입 이다(제8장 
8절 5). 


제6절. 검열기록과 침입검출 

일단 체계가 설치되고 동작할수 있게 되면 그의 보안기구는 위법사용자의 작용을 막 
아야 한다. 그러나 보안기구가 적당치 못하거나 결함이 있을수 있다. Unix 와 같이 복잡 
한 체계에서는 바람직하지 않은 보안설정이 체계실행을 위하여 필수적일수도 있다. 때문 
에 보안위반의 발생 이나 보안위반의 발생후에 보안침해나 다른 수상한 사건이 일어 나는 
가를 검출하는 추가적인 기구를 가지는것이 좋다. 이러한 기구들을 부류별로 가르면 다 
음과 갈다. 

• 검열 ( audit ): 보안관계사건들을 후에 분석하기 위해 검열기록(검열궤적)에 기록한다. 

• 침입검출 : 이상스러운 사건이 발생하면 그것을 검출하고 전자우편이나 조종탁통보 
문으로 체계관리자에게 알려 준다. 

• 자동보복(침입응답): 보안경보에 적절한 작용으로 즉시에 반작용한다. 실례로 수상 
한 사용자는 체계로부터 자동적으로 추방된다. 그러나 거짓경고가 있을수 있고 또한 
자동보복이 항상 좋은 결과를 줄것 인가는 명백치 않다. 안전림계체 계 에서는 침 입검 
출이 권고될수 있으나 사용자들이 침입검출체계에 걸려 들수 있는 례외적인 행위를 
해야 하는것은 엄밀히 비상사태의 때이다. 

검열기록을 안전한 장소에 보관하는것이 중요하다. 검열기록을 변경시킬수 있는 공 
격자는 자기의 흔적을 완전무결하게 숨길수 있다. 다음목록은 안전도가 증가하는 순서로 
검열기록을 보호하기 위한 선택항목을 준다. 

1. 검열기록에 론리적인 보호를 설정하여 오직 특권사용자만이 쓰기접근을 할수 있 
게 한다. 

2. 검열된 기계의 뿌리가 특권사용자의 특권을 가지지 못할 때에는 검열기록을 다른 
콤퓨터에로 보낸다. 이 방법은 2중보호를 제공한다. 첫째로 합법적인 특권사용 
자의 작용보다 더 우월한 조종이다. 둘째로 검열된 기계의 뿌리접근을 얻으러는 
공격자가 자기의 흔적을 감추려면 또 다른 콤퓨터에 침입해 야 한다. 
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3. 검 열기 록을 콤파일 러 나 편집 기，일정한 망봉사프로그람들과 갈은 불필요한 봉사 
프로그람들이 제거된 전용검열장치에로 보낸다. 그러면 공격자는 그 검열장치에 
로의 뿌리접근을 하기가 훨씬 더 어렵게 된다. 

4. 검열기록을 안전한 인쇄기에로 보낸다. 다음은 물리적인 보안대책들이 검열기록 
의 완정성을 보호하게 된다. 

관리자적 인 립장에서 기록해 야 할 보안관련사건들과 검열기록을 보관하는 시간을 결 
정하여야 한다. 물론 기록된 여러가지 사건들의 수와 검열기록을 보는 조작자의 능력사 
이에는 이률배반관계가 있다. 보안과 관련되는 사건들이 많을수록 검열기록은 더욱더 확 
장되며 침입시도들에 대한 단서를 잡기 어렵게 된다. 다른 한편 만일 기록되는 사건들이 
너무 적으면 공격이 일단 검출되였을 때 공격이 어떻게 수행되였는지 확증하기가 어렵게 
된다. 게 다가 사용자의 행위를 기록하는것자체 가 사회 적 으로 일정하게 제 한된다. 즉 그 
것은 국가적 인 비밀법 또는 리용규칙의 일부분으로 될수 있다. 일부 보안관계사건들은 
Unix log 파일 안에 다음과 같이 자동적 으로 기록된다. 


/usr/adm/latlog 

/var/adm/ntmp 

/var/adm/vtmp 


/var/aadm/acct 


: 사용자가 마지막으로 가입한 시간을 기록. 이 정보는 finger 지 
령으로 볼수 있다. 

: who 지령에 의하여 리용된 등록자리정보를 기록. 

: 사용자가 가입 혹은 탈퇴 할 때에 매번 시간을 기록. 이 정보는 
last 지 령 으로 현시할수 있 다. 이 파일 이 모두에 게 리 용가능한 
기억기에 넣어 지는것을 막기 위해서 규칙적인 간격마다 자동적 
으로 없애 버릴수 있다. 

: 실행된 모든 지령을 기록. lastcomm 지령으로 현시할수 있다. 


이 파일들의 정확한 이름과 위치는 Unix 체계마다 다르다. accton 지령에 의하여 펼 
쳐 진 등록자리는 검열목적에도 리용할수 있다. 이 밖에 Unix 체계를 관찰하는 지 령들로 
서는 find, grep, ps, users 들이 더 있다. 기술적측면에서 검열기록이 그에 할당된 기 
억공간을 초과할 때에는 어떻게 하겠는가를 결정해야 한다. 


• 검열기록을 처음부터 다시 씨 야 하는가? 

• 검 열기록을 이 목적 으로 할당되지 않은 공간안에 씨 야 하는가? 

• 체계는 관리를 위한 작용이 진행되는 동안 정지하고 대기해야 하는가? 

검열기록은 길고 지루하므로 이러한 검열기록을 검열하는 조작자가 중요한 사건을 
놓칠수 있는 가능성이 많다. 때문에 보안위반을 나타내는 지시기를 찾아 보든가 수상한 
행동을 식별해 내기 위하여 인공지능적인 방법으로 검열기록을 조사하는 전문가체계를 
리용하자는 의견들이 제기되고 있다. 침입검출체계들에서도 비슷한 방법을 리용한다. 


1. 가입사용자식별자 

앞에서 본 기록파일안에 기록된 보안관계자료목록을 보자. 이 사건들중 대부분이 사 
용자와 관련되므로 기록항목은 사건을 발생시킨 처 리의 UID 를 포함해 야 한다. 그다음 
검 열은 SUID 프로그람에 의하여 어떤 영향을 받겠는가? 이 러한 프로그람은 그 소유자의 
UID 로 실행하지만 그 프로그람을 실행시키 는 사용자의 UID 로는 실행되지 않는다. 여 기 
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서 기록항목들은 기록을 위한 현행처 리의 UID 를 리용할 때 실지 로 필요한 성분들을 제 
공해 주지 못한다. 

책 임추적가능성을 높이기 위해 Unix 의 안전한 판본들은 최초에 가입한 사용자의 신 
원정보를 보관한다. 실례로 SCO Unix 는 이 목적으로 가입사용자식별자 (LUID) 를 리 
용한다 (HP-UX 에서는 효과적 인 사용자신원이라는 개 념을 사용한다). LUID 는 가입시 
에 만들어 진다. 자식처 리는 어미 로부터 LUID 를 계승한다. 

A 사용자신원들은 두가지 목적 즉 접 근조종과 책 임 추적가능성 에 쓰이 는 보안 

속성 이 다. 같은 시각에 두가지 목적에 꼭 같은 속성을 리용하는것 이 언제 나 
가능한것은 아니 다. UID 가《실지》사용자에 대응하는 한 허가에 기초한 접 
근조종과 검열은 호상 보충적으로 작용한다. 일단 SUID 나 SGID 프로그람을 
통한 자원접 근을 막기 위하여 특수한 사용자신원을 만든다면 검 열 시 리용에 
서 제한을 받게 된다. 


제7절. 포장기 

지금까지 본 접근조종과 검 열기구들은 그리 세 련된것들은 아니 다. 그것들은 조작체 
계보안의 전통에 따라 자원에 대한 접근조종에 초점을 두고 있다. 기초적 인 접근조종기 
구들을 잘 리용하면 《중간준위》에서 조종을 실현할수 있다. 대신에 이 목적을 위하여 
Unix 자체를 수정할수도 있다. 여기서의 과제는 조작체계의 다른 요소들에는 영향을 주 
지 않으면서 유용한 보안조종들을 추가하는 방법으로 변경시킬수 있는 Unix 요소를 찾아 
내는것 이 다. Unix 가 복잡한 체계이므로 간단한 과제가 아니 다. 

TCP 포장기 들은 아주 재 치 있 게 이 설 계수법 을 례 증한다. telnet 나 ftp 같은 
Unix 망봉사들은 다음의 원리에 기초하여 구축된다. inetd 데몬은 들어 오는 망접속 
들을 주시한다. 접속이 이루어 지면 inetd 는 적절한 봉사기프로그람을 기동시킨후 다 
음접 속을 대 기하는 상태 로 돌아 간다. 이 데 몬은 많은 봉사프로그람들의 작업 을 조종 
하기 때 문에 고급봉사기 (super service) 라고 한다. inetd 데 몬은 봉사들 (포구번호들) 
을 프로그람들에 로 넘 기는 구성파일을 가지 고 있다. 이 구성 파일의 기 입 항목은 다음의 
형식을 가진다. 

Service type protocol waitflag userid executable command-line 

실례로 telnet 기입항목은 다음과 같다. 

telnet stream tcp nowait root/usr/bin/in. telnetd in. telnet 

inetd 는 자기가 조종하는 봉사에 대한 요구를 받으면 구성파일을 참고하여 지정된 
실행 가능한 처 리 (executable) 를 실행 하는 새 로운 처 리를 만든다. 이 새 로운 처 리의 이 
름은 지 령 행 (command-line) 마당에 주어 진 이름으로 변경된다. 

보통 실행가능한 처리의 이름과 지령행에 주어 진 이름은 같다. 이것이 훌륭한 계교 
의 실머 리를 준다. 본래의 실행 가능한 프로그람대 신 포장기프로그람에 로의 inetd 데 몬을 
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지적해 주고 포장기가 자기의 보안조종을 수행한 다음 실행하려는 본래의 실행가능한 프 
로그람의 이름을 되살리기 위하여 처리의 이름을 리용한다. 이 실례에서 telnet 에 대한 
구성파일기 입항목은 다음과 같이 바물수 있다. 


telnet stream tcp nowait root / usr / bin/tcpd in . telnet 

지금 실행된 프로그람은 / usr / bin / tcpd 이 다. 이것은 실행 가능한 TCP 포장기 이다. 
포장기를 실행하는 처 리는 여전히 in . telnet 라고 부론다. 이 포장기안에서 모든 접근조 
종을 수행할수 있거나 또는 원하는것을 기록할수 있다. 본래의 응용프로그람에서 포장기 
는 IP 주소의 려과 ( filtering ) 에 리용되였다(제13장) . 포장기는 자기가 들어 있는 등록부 
례하면 / usr / bin 과 자기자체의 이름 즉 in . telnet 를 알기때문에 그다음에 본래의 봉사기 
프로그람 즉 / usr / bin / in . telnet 을 호출한다. 사용자는 이 차이를 느끼지 못하며 결국 
이전과 득 같은 봉사를 받게 된다. 

다른 하나의 간접준위를 추가하는것은 콤퓨터과학의 위 력한 도구이 다. 보안 
!노 에서 이 도구는 체계를 공격하는데와 체계를 보호하는데 리용할수 있다. 

Inetd 데 몬과 봉사기 프로그람사이 에 TCP 포장기 를 끼 워 넣 으면 데 몬의 원천 
코드나 봉사기프로그람의 원천 고 드를 변경시키지 않고도 보안조종을 추가할 
수 있게 된다. 


이 실례의 매력은 그의 일반성에 있다니 Unix 망봉사기의 전반체계를 보호하는데도 
곡 갈은 원리를 리용할수 있다. 


A 


TCP 포장기는 기본설계원리 즉 통제된 호출 (controlled invocation ) 과 봉 
사를 호출하는 프로그람을 변경시키지 않고 그 봉사에 대한 보안검사를 추 
가할수 있게 하는 세련된 기교 (elegant trick ) 를 결합하고 있다. 이것은 현 
존하는 체계에 보안을 새로 구축해야 할 때에도 도입할수 있는 원리이다. 


제8절. 설치와 구성 

조작체계에서 가장 중요한 점은 그의 설치이다. 조작체계는 많은 보안특징들과 보안 
에 영향을 주는 특징들을 가지고 있다. 이 특징들중의 일부는 문서화가 잘되여 있지 않 
다. 기정설정은 순조로운 설치와 조작에 유리하다. 이 설정들은 운영기술자나 체계관리 
자들에게 많은 특권을 준다. 모든 다른 사용자들과 같이 체계관리자를 제한하고 체계관 
리자들과 보안관리자들을 분리시키는것이 좋다. 복잡하고 어렵게 문서화된 특징들은 계 
획된 보안방책 을 효과적 으로 시 행하도록 체 계를 설치 하기 어 렵게 한다. Unix 는 체 계관 
리자의 일감을 돕는다. 

체계 관리 자는 모든 보안관계 파일들에 대 하여 해 박한 지식 을 가져 야 하며 설치한 다 
음 변화시켜야 할 위험한 기정설정들에 대해서도 잘 알아야 한다. 

체계가 설치되면 보안관련정수들을 표준 Unix 편집지령으로 정의한다. 자원에 대한 
허 가는 응용프로그람보다 조작체 계쪽에 더 가까운 준위 로 설정한다.실례 로 


99 



/etc/passwd 같은 파일들을 편집 하여 사용자를 설정 한다. passwd 프로그람의 보호는 
다음의 지령의 영향을 받는다. 

chmod 4750 /bin/passwd chgrp staff/bin/passwd 

체계를 검열할 때 Unix 는 리용되는 지령들을 조사한다. 실례로 다음의 지령은 통과 
암호없이 등록자리들을 조사한다. 

awk-F ： 'length($2) <1 {print $1}’ </etc/passwd 

SUID 와 SGID 는 다음지령으로 찾을수 있다. 

find/-type f\ (-perm 2000 -o -perm 4000\ ) -exec Is -ld}}\ ； 

접근조종방책은 단순한 자유접근조종을 통하여 지원된다. 구조화된 보호는 그룹성원 
자격에 준하여 그리고 가입 이 금지된 등록자리를 리용하여 실현할수 있다. 

이 와 같이 보안특징 들을 관리하며 현재 보안상태 를 검 사하기 위한 추가형 Unix 보안 
제 품들이 있 다. 널 리 쓰이 는 검 사도구들은 COPS [54] ([50] 도 역 시 )와 SATAN 이 다. 이 
것들은 약한 통과암호，파일 이 나 등록부에 대 한 잘못된 허 가 그리 고 잘못된 구성파일과 
갈은 결 함들을 람색 한다. 체 계관리 자가 자기 의 체 계안에 서 쉽 게 공격 받을수 있 는 약점 
을 검 출하기 위하여 이 도구들을 리 용할수 있지 만 갈은 목적 을 가진 공격 자도 역 시 리 용 
할수 있 는 방법 이 기 때 문에 광범히 리 용되 지 못한다. 

이 장의 문헌안내 


이 장에서는 Unix 보안의 일부를 취급하였다. 참고문헌 [36，50，55, 16幻들에 보 
다 많은 내 용을 준다. Unix 보안에 관한 SRI 기 술보고서 (참고문헌 [35]) 는 다음의 Web 페 
지에 있다. 

http ：// www . sri . ucl . ac . be / SRI / dicuments / unic-secure 

만일 개별적인 Unix 판본들에 대한 고유한 정보가 필요하다면 체계에 부속된 직결문 
서와 제작자가 제공하는 문서를 구해 보시오. 이 장에서 취급한 대부분의 실례들은 
DEC - Unix 설 치 에 관하여 검 토되 였 으므로 각이 한 Unix 판본들에 대 해 서 는 수정 이 요구될 
수 있다. Linux 는 Unix 의 무료쏘프트웨어이다. Linux 에 관한 보안정보의 원천은 다음 
의 Web 폐지에 있다. 

http ：// bach . cis . temple , edu / linux / linux - secarity / 

다중보안 Unix 체계들은 참고문헌 [13 幻에서 론의 한다. CERT 는 보안제품들에서 발견 
되는 결함들에 대한 정기적인 의견을 출판하고 있다. 일반정보는 Web 폐지에 있다. 

htpp : / / into . cert . org / pub / cert . adv : sorjes / 
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웨 네 마 (Wietse Venema ) 의 Web 페지는 다음과 같다. 
ftp : // ttp . win . tue . m / pub / security / iadex . html 

이 페지는 Unix 보안에 관계되는 도구와 론문들을 취급한다. SRI 에서 침입검출전문 
가체계 에 관한 연구론문이 참고문헌[92，7幻 들에 주어 진다. Unix 검 열제품에 관한 
Web 페지는 다음과 같다. 

http ：// www . axent . com 
http ：// www . o v . com 

침입검출체계에 대한 최근의 분석자료는 다음의 Web 페지에서 볼수 있다. 
http ：// www . secnet . com / nav 2. html 


련습문제 

1. 보안관련지령에 대한 직결문서를 조사하시오. 

/ etc / passwd 안에서 자기의 항목을 찾고 자신의 파일과 등록부에 대 한 허 가설정을 
검사하시오. 

2. 홈등록부에 부분등록부를 만들고 이 부분등록부에 짧은 통보문을 담은 welcome , 
txt 파일을 배 치하시 오. 부분등록부에 허 가비트들을 설정하여 소유자가 실행접 근을 
가지게 하시오. 

• cd 로 부분등록부를 현행등록부로 하시오. 

• 부분등록부목록을 보시오. 

• welcome , txt 의 내용을 현시 하시오. 

• 부분등록부에 welcome , txt 의 복사문을 만들어 놓으시오. 

부분등록부에서 읽기허가와 쓰기허가에 대하여 같은 실행을 반복하시오. 

3. 다른 사용자들로부터 tty 장치를 어떻게 보호하는가? 

4. UID 와 GID 그리 고 VSTa 능력 의 골격 내 에서 허 가를 통하여 Unix 접근조종을 엄 을수 
있는가? 

5. 보안로출을 줄이기 위해 여 벌만들기절차를 어떻게 설정하겠는가? 

6. Unix 보안기구들로《장성》보안과 콜라크-월슨의 모형을 실현하시오. 

7. 어느 Unix 지 령 이 등록부안의 모든 전체쓰기가능한 파일들을 현시하는가? 

8. Unix 보안에서 강한 점과 약한 점을 지적하시오. 이 문제로 소론문을 쓰시오 (1000 단어). 
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제 7 장 . Windows NT 보안 


앞에서 본 Unix 보안은 조작체계가 제공하는 초보적 인 보안기구들에 대한 학습이였 
으며 조직들의 보안방책을 실현하는 문제에 대해서는 거의 다치지 못하였다. 조종의 추 
가적인 중간층들은 이 문제를 취급하는데 쓰인다. 기타 실천에서 중요한 령역들은 체계 
관리 자들에 의한 보안속성 과 보안조종의 관리 이 다. 이 장에 서 는 Windows NT 보안을 
학습하면서 이 방향으로 한걸음 더 전진하게 된다. 


목적 

• 조작체계가 보안방책실현을 어떻게 지원하는가를 고찰한다. 

• 콤퓨터망에 고유한 보안문제들을 조사한다. 

• 체계관리와 관련되는 몇가지 주요보안문제들을 제기한다. 

• Windows NT 보안의 기초개 념을 준다. 


제1절. 소개 

Windows NT 는 다양한 처리기구성방식에서 동작할수 있는 이식성 있는 조작체계 
로서 마이크로쏘프트회사가 개발한 체계 이 다. Windows NT 는 뒤 방향으로 호환성을 가 
진다. 즉 이 체계에서 MS-DOS, OS/2, Windows 응용프로그람들을 실행시킬수 있다. 
Windows NT 는 망련결능력을 포함하여 POSIX 순응성을 가지며 단독구성에서 판본 3.51 
은 c2 클라스의 인정을 받았다. Windows NT 가 보안관리를 지원하는것은 그라프대면부 
로 보안특징들을 관리할수 있게 해주는것뿐이 아니다. 

앞에서와 마찬가지로 이 장에서는 Windows NT 보안에 대한 완전한 개괄이 나 그의 
약점에 대한 구체적인 평가 또는 그의 모든 보안특징들을 최대로 리용하기 위한 안내는 
주려 하지 않는다. 이 장의 뒤에 있는 안내도서들에서 그에 대한 구체적인 자료들의 출 
처를 지적한다. 이 장의 기본목적욘 아직 취급하지 않은 콤퓨터보안의 기본문제들을 실 
천적으로 례증하는 즉 많은 사람들이 흥미를 가지는 특징들을 강조하는것이 다. Unix 보 
안과 비 교해 볼 때 Windows NT 는 사람一기계척도에서 사람쪽에 더 가까운 우월한 측 
면을 가지고 있다(그림 7-1). 

1. 보안구성방식 

Windows NT 에서 사용한 기초적 인 보안기구들을 간단히 보면 다음과 같다. 

• Unix 에서와 같이 사용자방식 (보호고리 3) 과 핵심부방식 (보호고리 0) 의 구별이 있다. 
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Windows NT 의 실행을 포함하여 핵심적인 조작체계봉사프로그람들은 핵심부방식 
에서 실행 된다. 사용자프로그람은 응용프로그람대 면 ( API ) 을 호출하여 조작체 계 봉사 
를 실행시킨다. 상태절환과 고리 3으로부터 0에로의 이행은 국부수속호출기구 
(Local Procedure Call facility ) 에 의 하여 조종된다. 

• 자물쇠 잠그기 ( locking ) 는 초보적 인 조작체 계 기 능이 다. 만일 한 사용자가 어 떤 객 체 
에 배 타적 인 자물쇠 ( lock ) 를 설정 하면 다른 사용자는 접근할수 없게 된다. 

• 자료는 소유물형식으로 보관된다. 이 러한 형식의 자료들을 처 리할수 있는 편의프 
로그람들은 조종의 중간층으로서 쓰인다. 그러나 이러한 조종들은 조작체계를 변 
경 하지않고도 우회할수 있으며 《 애매성 에 의한 보안》에 대 한 보통의 경 고들을 
적용한다. 

• Windows NT 는 객체지 향설계 이다. 모든것을《 자원》으로 보는 Unix 에서의 자유 
접근조종기 구와 대 조적 으로 Windows NT 에서의 자유접 근조종은 객체형들에 따라 
변할수 있다. 


특정 한 
복잡한 

사용자에게 주목 


일반적 
간단한 
자료에 주목 


X- 


사람지 향 


기 계 지 향 


그림 7-1. 사람 - 기계척도에서 Windows NT 보안특징의 위치 


조작체계의 다음과 같은 요소들은 보안부분체계의 부분으로 된다. 

• 보안참조감시 기 ( SRM ) : 접 근조종을 책 임 진다. SRM 은 핵 심 부방식 에 서 동작하는 실 
행가능한 요소이 다. 

• 국부보안권 ( LSA ): 사용자등록자리를 검사하고 체 계접근통표 ( SAT ) 를 창조하는 가 
입시에 포함되는 사용자방식요소이다. LSA 는 검사기능책임이 있다. 

• 보안등록자리 관리 자 ( SAM ) : LSA 에 의 하여 리 용된 사용자등록자리 자료기 지 를 유지 
하며 LSA 를 위한 사용자인증을 제 공하는 사용자방식 구성 요소이 다. 

• 가입처리: 사용자방식에서 가입할 때 사용자를 인증하는 처리. 


제2절. 등록고 

등록고 ( registry ) 는 Windows NT 구성자료를 위한 중심자료기 지 이 다. 등록고의 
항목들을 열쇠 (암호화에 서 의 열쇠 와 혼돈하지 말아야 한다. )라고 부론다. 등록고는 
계 층적자료기 지 이 다. 정 점 준위 에 서 등록고는 벌 집 ( hive ) 이 라고 부르는 4개 의 부분들 
로 구조화된다. 벌집은 열쇠들(등록부들)을 포함하며 열쇠들은 또 부분열쇠(부분등록 
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부) 또는 값들(자료항목)을 가진다. 4개의 벌집안에 있는 정점준위열쇠를 흔히 뿌리 
열쇠라고 부론다. 매 벌집은 검사하려는 벌집 또는 그의 부분열쇠들에로의 변경을 기 
록하는 기록파일을 하나씩은 가진다(체계벌집은 제외이다. 그의 기록항목은 
system, alt 과일에 쓴다). 

등록고에서는 체계를 사용자의 요구에 맞게 구축할수 있으며 기정보호들이 설정된다. 
때 문에 등록고자료의 완정성 을 보호하는것 이 필요하다. 실례 로 등록고열쇠 는 조작체 계 가 
자동적 으로 어 떤 실 행 가능한 파일 을 찾는 장소를 가리킬수 있 다. Windows NT 에 서 는 
이것을 경로 ( path ) 라고 부론다. 

만일 이러한 열쇠에 대한 허가설정이 무효화되여 누구나 쓰기할수 있으면 공격자는 
경로를 수정하여 범죄적인 프로그람을 침투시킬수 있게 된다. 이처럼 높은 준위의 보호 
와 사용의 편리성은 언제나 동시에 조화되지 않는다. 

등록고는 소유물형식으로 보관된다. 등록고를 수정하는 조작체계도구는 오직 등록고 
편집 기 뿐이 다. 그러 나 사용자들은 등록고편집 기 를 우회하는 자체 의 도구를 만들어 등록 
고열쇠 에 직접 접근할수 있다(제7장 3절 3). 체계관리 에 리용되지 않는 모든 기계들에서 
등록고편집 기 를 제 거하는것 은 방어 에 서 제1선 이 다. 일부 보안관련열쇠 들은 등록고편집 기 
로도 직 접 편집 할수 없게 해 야 하며 오직 체 계 방책 편집 기 (system policy editor) 와 같은 특 
정 의 편의프로그람에 서만 변경시 킬수 있게 하여 야 한다. 

1. 등록고파일허가 

접근조종목록은 벌집과 열쇠에 대하여 설정된다. 접근허가는 관리자 (Administrators), 체 
계 (System), 사용자 (Users), 창조자/소유자 (Creator/Owner), 모든 사용자 (Everyone) 와 같은 그 
룹들에 대하여 정의된다. 가능한 접근허가들은 다음과 갈다. 

• 읽기전용 (readonly): 사용자는 읽기만 하고 어떤 변경도 할수 없다. 

• 완전조종 (full control): 사용자는 편집，창조，지우기할수 있으며 또는 열쇠의 소유권 
을 회수할수 있다. 

• 특수조종 (specialaccess) :사용자는 렬거된 목록에 따라서 허 가를 받을수 있다. 

특수조종의 표준적 인 목록은 다음의 항목들을 포함한다. 

• 값묻기 (Query Value) : 열 쇠 값을 읽 는다. 

• 값설 정 (Set Value) : 열 쇠 값을 설 정 한다. 

• 부분열쇠 만들기 ( Create subkey) : 현존하는 열 쇠 안에 새 토운 부분열 쇠 를 만든다. 

• 열쇠계수 (Enumerate Key): 열쇠안의 모든 부분열쇠들을 식별한다. 

• 통지 (Notify): 열쇠에 의하여 발생된 검열통지를 수신한다. 

• 련결창조 (CreateLink): 열쇠에로의 기호련결을 창조한다. 

• 지 우기 (Delete) : 열 쇠 를 지 운다. 

• DAC 쓰기 (Write DAC) : 열 쇠 에 대 한 접 근조종목록을 수정 한다. 

• 소유자쓰기 (Write Owner) : 소유권을 획 득한다. 

• 조종읽기 (Read Control): 열쇠 안에서 보안정보를 읽 는다. 
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실례로 뿌리열쇠에 대한 권고된 기정파일허가는 다음과 갈다. 

1. HKEY_LOCAL_MACHINE : 국부콤퓨터，하드웨 어 및 조작체계 에 대 한 정 보를 포 
함한다. 

f 관리자: 완전조종 
-& 체 계 : 완전조종 
@ 모든 사용자: 읽기 

2. HKEY_CLASSES_ROOT : 파일련관， OLE (객체의 련결과 매몰) 그리고 DDE (동적자 
료교환)클라스정의에 대한 자료를 담고 있다. 

s 관리자: 완전조종 
讀 체계: 완전조종 
$ 모든 사용자: 읽기 

3. HKEY_CURRENT_USER : 현재 가입 한 사용자들에 대 한 사용자프로필 들을 포함 
한다. 

淨 관리자: 완전조종 
별 체계: 완전조종 
讀 사용자: 완전조종 

4. HKEY_USERS： 체계에 설치된 모든 사용자에 관한 프로필을 포함한다. 

必 관리자: 완전조종 

-I 체계: 완전조종 
4 사용자: 완전조종 

HKEY_LOCAL_MACHINE 가 가지는 보안관련부분열쇠들은 다음과 같다. 

HKEY_LOCAL_MACHINE\ SAM： 사용자와 그롭등록자리의 자료기지 
HKEY_LOCAL_MACHINE\ Secure： 보안부분체 계 에서 리 용한 국부적 인 보안방책 에 
대한 정보 

HKEY_LOCAL_MACHINE\ Software、 마이크로쏘프트\ RPC： 원격수속호출 
HKEY_LOCAL_MACHINE\ Software、Microsoft、Windows NT\ CurrentVersion 

이 열쇠들을 변경시킴으로써 공격자는 조작체계의 거동을 변경시킬수 있다.이 열쇠 
들에 대한 가능한 허가설정은 다음과 같다. 

• 관리자: 완전조종 

• 체계: 완전조종 

• 창조자/소유자: 완전조종 

• 모든 사용자: 특수한 접근 

특수한 접 근은 값묻기，부분열 쇠계 수，통지，조종읽 기 에 대 한 허 가를 준다. 

만일 어 느 한 열쇠 가 존재하지 않는다면 어떻게 되 겠는가? 이 문제를 례증하기 
위해 어 떤 사용자나 그룹들이 등록기 에 원격 으로 접 근할수 있는가를 지 적하는 열쇠 
를 고찰하자. 
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HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Con 仕 ol \ 

S ecurePipeS ervers \ Winreg 

만일 열쇠 가 존재하면 사용자가 그 등록고에 대 한 원격접 근을 요구할 때 참고될것 이 
며 그 등록고의 원격편집 에 특별 한 제 한을 적 용할수 있 다. 만일 그러한 열쇠 가 존재하지 
않는다면 원격접 근에 대 한 검 사가 집 행 되지 않을것 이 다. 원격접 근은 등록고에 대 한 국부 
접근과 곡같이 취급된다. 


제3절. 식별과 인증 

Windows NT 는 인증을 위해 사용자이 름과 통과암호를 리 용한다. 이 기 구의 실 현 
은 봉사기들과 워크스테 이션들로 구성된 망을 전제로 하고 있다. Windows NT 5.0 은 
인증을 위 해 Kerberos 를 리용한다. 

1. Windows NT 통과암호기구 

통과암호는 암호화된 형태로 보관된다. 실제로 두개의 암호화된 통과암호 즉 마이크 
로쏘프트 LAN 관리 자통과암호와 Windows NT 통과암호가 존재한다. 사용자들이 약한 
통과암호를 사용하지 못하도록 통과암호려과 동적련결서 고 ( DLL ) 를 설 치할수 있 다. 다 
음의 열쇠가 등록고에 추가되여야 한다. 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Con 仕 ol \ 

LSA \ NotificationPackage \ Passfilt.dll 

마이크로쏘프트가 제공하는 통과암호려과기는 통과암호가 적어도 6개 문자를 가지도 
륵 한다. 통과암호는 적어도 다음의 4가지 자료형 즉 대문자，소문자，수자，자모 아닌 
기 호들중 3가지 형을 포함해 야 한다. 

통과암호는 사용자이름의 일부분을 포함할수 없다. 

암호화된 통과암호는 SAM 자료기 지 안에 있는 사용자등록자리 안에 보관된 다 (제 7장 4 
절 3). SAM 자료기지는 등록고의 한부분이다. SAM 자료기지는 표준본문편집기로 읽을 
수 없는 2진파일 이다. 암호화된 통과암호를 추출하기 위하여 조작체 계 는 체 계호출이 
SAM API 를 리용하도록 한다. 조작체계는 이러한 체계호출들이 특권상태에서 실행되는 
때에만 허락한다. SAM 자료기지는 기정값으로 전체 읽기가능이지만 항상 체계가 리용해 
야 하므로 잠그어 져 있다. 그러나 체계가 설치되거나 또는 rdisk 지령이 A :구동기를 출 
력 으로 지정 하지 않고 주어 질 때 창조되 는 \ system 32\ repair 등록부안에는 여 벌복사 
본도 존재 한다. 

ᅀ 중요한 자료의 여 벌복사본은 본래의 자료와 동일한 보호를 요구한다. 
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LAN 관리자롬과암호 

LAN 관리 자통과암호는 암호화되 며 SAM 자료기 지안에 보관된 암호문으로부터 검 색 
할수 있다. 통과암호는 14개 문자길 이 로 설정할수 있다. 암호화알고리 듬은 128문자까지 
허 용하지 만 통과암호차림 표의 입 력칸은 14개 문자만을 취 한다. 14개 문자길 이 가 안되 는 
통과암호들은 나머지를 령으로 채운다. 그다음 대문자로 변환하고 14개 문자(단일바이트 
의 원본장치제작자 ( OME ) 문자모임)들을 두개의 7 byte 블로크들로 나눈다. 이 블로크들 
은 기 우성 을 포함하여 8 byte DES 로 확장되 며 고정 마지 크열쇠 (fixed magic key ) 들인 
OxAA ，0 xD 3,0 xB 4, 0 x 35, 0 xB 5, 0 x 14, 0 x 4 ,OxEE 밑에서 암호화된다(실제로 이러한 열쇠 
에 대하여서는 요술이 없다). 두개의 결과는 련결되여 암호화된 LAN 관리자통과암호를 
구성 한다. 

Windows NT 롬과암호 

Windows NT 통과암호는 한방향함수를 리 용하여 하쉬 화된다. Windows NT 통과암 
호는 SAM 자료기 지안에 보관된 하쉬값으로부터 재 생할수 없 다. 이 하쉬값을 계 산하기 
위해 사용자의 통과암호를 먼저 유니코드 (65536 문자까지 지원하는 16 bit 문자모임)로 변 
환하고 MD 4 알고리듬(제12장 2절 1) 을 리용하여 16 byte 의 하쉬값을 얻는다. 

2. 가입 

가입은 Windows NT 조작체계 가입화면을 기동시키는 CTRL + ALT + DEL 건들을 누르 
는것 으 로 시 작 한 다 . 이 때 CTRL + ALT+DEL 을 안전 주의 조 작 렬 (secure attention 
sequence ) 이 라고 부른다. 이 안전주의 조작렬 은 사용자와 콤퓨터 사이 의 대 화가 시 작되 였 
을 때와 지어는 가입화면이 이미 현시되였을 때에도 리용해야 한다. 이것은 응용프로그 
탐에 의해 복제 될 수 없는 낮은 준위 의 Windows NT 함수들에 대 한 호출을 발생한다. 
MS - DOS 기동디스크로 실행되는 DOS 방식프로그람들은 Windows 가입화면을 모방할수 
있 으며 기 만공격 을 준비할수 있 다 [63] 누 

Windows NT 는 경 고문으로 법 률적 주의 (legal notice ) 를 현시 하는 선택 항목을 제 공 
한다. 사용자들은 가입 하기 에 앞서 이 경고통보문에 응답해 야 한다. 그다음 사용자는 사 
용자이 름과 통과암호를 입 력한다. 사용자이 름과 통과암호들은 가입처 리 에서 수집되 여 국 
부보안권 ( LSA ) 에 넘겨 진다. LSA 는 인증패키지를 호출하여 입력된 사용자이름과 통과 
암호를 등록자리 자료기 지 에 보관된 값들과 비 교한다. 일 치하면 SAM 은 사용자의 보안식 
별자 ( SID ) 와 사용자가 속한 그룹의 보안식별자를 돌려 준다. 

인증패 키지는 가입대 화를 창조하고 모든 SID 들과 함께 그 대화를 LSA 에 돌려 
보낸다. 

LSA 는 사용자의 SID 와 사용자권한을 포함하는 체계접근통표 ( SAT ) 를 만든다. 그 
다음 SAT 는 가입 처 리 에 의 하여 Win 32 부분체 계 가 창조한 처 리 에 결 합된 다. 이 처 리 는 
접근조종을 목적 으로 한 주동체 이 다. 

만일 인증이 국부사용자등록자리 자료기 지 상에 서 실패하면 가입 요구는 다른 인증패 
키지를 찾아서 망우로 나갈수 있다. 만일 모든 시도가 실패하면 사용자는 오유통보문을 
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받게 된다. 반대로 첫 인증패키지가 국부콤퓨터가 아니라 봉사기에 있다면 두번째 시도 
는 의뢰기에 림시완충된 자료기지를 리용하여 진행할수 있다. 

끝으로 방금 설명한 대화형가입과 사용자가 망인증규약을 통하여 가입하는 망가입사 
이에는 차이가 있다는것을 알아야 한다. 여러가지 접근조종조건은 사용자가 어떻게 가입 
하는가에 따른다. 

3. SAM API 의 우회 

SAM 자료기지는 적절한 2진형식 으로 암호화된다. SMA API 는 SAM 에 대 한 접근 
을 주는 조작체계의 대면부일뿐이다. 그러나 지금은 SAM 파일들을 읽을수 있는 형식 
으로 변환하는데 리용할수 있는 프로그람들이 있 다. PWDump 는 그러 한 프로그람들중 
의 하나이 다. 이 프로그람은 Windows NT 통과암호를 Unix 체계와 공유하는 환경에서 
단번서명을 제공하기 위하여 개발되였다. PWDump 프로그람은 다음과 갈은 정보를 돌 
려 준다. 


사용자이 름: 사용자식 별자: 국부망관리 자통과암호 : NT 통과암호: 사용 
자이름: 홈등록부 

PWDump 프로그람의 대표적 인 출력은 다음과 같다. 

phacl 05 :1001: BB 70 C 98 EB 15675 ED 78 A 48107248 AD 508 : 

13 FD 03080874168 F 86 E 5 A 4 EF 66 E 44 C 5： 

Mark Curphey ：\ \ fred \ profiles ' phacl 05\ personal ： 


해커는 PWDump 와 같은 프로그람들을 실행시키도록 체계관리자를 기만하려고 할 
수 있 다. WWW 와 Active X 또는 MIME 과 같은 전자우편쏘프트웨 어 들은 프로그람들 
을 인터네 트상에서 전송하고 사용자의 워 크스테 이 션에서 실행할수 있게 하는 특징을 
가진다. PWDump 를 실행가능한 내용과 함께 하나의 Web 폐지로 패키지화하고 체계관 
리자가 이 페지를 보도록 유혹함으로써 해커는 암호화된 NT 통과암호를 읽을수 있는 
형 식 으로 얻 을수 있 다(그러 나 통과암호를 평문으로 볼수 있 다고 주장하는것 은 지 나친 
과장이다). 


제4절. 접근조종 - 특징 

콤퓨터체계안에 보관된 중요한 정보를 보호할 때 제1선방어는 체계자체에 대한 접 
근을 통제 하는것이다. 제 2선방어 는 체계에 들어 올 허가를 가지는 체계 방책 성원들내에 
서의 접근조종이다. Windows NT 에서는 이 순서로 접근조종을 취급하며 콤퓨터망을 
참조한다. 
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1. 령역 

체계에 가입하기 위해서는 그 체계에서 사용자등록자리를 가져야 한다(제7장 4절 3), 
를퓨터망의 사용자들은 어떤 다른 콤퓨터에 있는 자원이나 봉사가 요구될 때 몇번씩이나 
다시 가입하는것 을 바라지 않을것 이 다. 를퓨터 망의 관리 자는 매 개 콤퓨터 가 제 각기 보안 
설정을 하는것을 원하지 않을것이다. Windows NT 는 단번서명과 동등한 보안관리를 
보장해 주기 위해 령역을 리용한다. 

령역은 공동의 사용자등록자리자료기지 와 보안방책 을 공유하는 콤퓨터 들의 집 합이 다. 
여기로부터 사용자들은 개별적인 콤퓨터들마다 등록자리를 필수적으로 요구하지 않고 령 
역 으로부터 자기의 등록자리 를 엄 을수 있다. 령 역 에서 사용자등록자리 자료기지의 기 본복 
사본은 1차령 역 조종기 ( PDC ) 라고 하는 봉사기 안에 보관된 다. 사용자등록자리 자료기 지 의 
복사본들은 여벌령 역조종기 ( BDC ) 에 보관된다. 사용자들은 PDC 또는 BDC 에 의 하여 인 
증될 수 있 다. 등록자리자료기 지 의 변경 은 관리 자가 작업하는 기 계 와는 무관계하게 항상 
PDC 주복사본에서 진행된다. BDC 들에 있는 여벌복사본들은 PDC 주복사본과 동시에 갱 
신된 다. 만일 PDC 를 리용할수 없 다면 등록자리자료기 지 를 갱 신하는것 은 불가능하다. 
따라서 PDC 가 다시 리용할수 있게 되거나 BDC 를 새로운 PDC 로 승격시킬 때까지 기다 
려 야 한다. 

워 크스테 이 션들은 자기 의 등록자리자료기 지 를 가질수 있으며 동시 에 령역의 성 원으 
로도 될수 있다. 이때 사용자들은 국부자료기지로부터 자기의 허가를 취하는 국부사용자 
또는 령 역자료기 지 로부터 허 가를 취 하는 대 역 사용자로 될수 있 다. 국부 및 대 역 등록자리 
를 가진 사용자는 2개의 서로 다른 보안식별자를 가진다(제7장 4절 4). 이와 류사하게 
자원들도 국부적 으로 또는 대 역 적 으로 관리 할수 있 다. 실례 로 워 크스레 이 션에 설 치 된 인 
쇄기와 같은 자원들은 국부적 으로 관리된다. 

2. 가입완충기억기-공격의 잠재적인 점 

어떤 워크스테이션의 사용자가 령역에 가입할 때 령역조종기를 리용할수 없다면 가 
입 은 실패 한다. 때 문에 워 크스레 이 션은 성 공한 가입 시 도들을 완충기 억 시 키 도록 설 치 되 고 
만일 령역조종기를 찾지 못하면 이 가입완충기를 참조할수 있다. 이것은 령역조종기안의 
SAM 으로부터 제거된 사용자가 리 용할수 있는 편리한 특징 이 다. 망접속을 금지 함으로써 
사용자는 워 크스테 이 션이 인증을 위 해 가입완충기를 리 용하게 할수 있으며 여 전히 체 계 
에 접근할수 있게 된다. 

A 이 문제를 TOCTTOU (time of check to time of use - 리용시간 대 검사시 
ᄊ 간)의 특별히 시끄러운 문제로 볼수 있다. 어떤 주동체의 접근허 가와 사용자 
권한은 사용자가 가입할 때 제정되며 전체 대화시 간동안 혹은 방금 본것처 럼 
더 오래동안 유효하다. 때문에 허가와 사용자권한의 변경은 즉시적인 효과를 
나타내지 않는다. 
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3. 사용자등록자리 

SAM 안의 사용자등록자리자료기 지 는 사용자에 대 한 보안관련정 보들을 보관한다. 사 
용자등록자리 들은 령 역사용자관리편의프로그람을 리용하여 편집한다. 사용자등록자리 에 
서 다음의 마당들을 정 의할수 있 다. 

• 사용자이름 : 가입을 위한 유일한 이름 

• 통과암호 : 14문자길이를 가지며 암호화되여 보관된다. 사용자들이 다음번 가입에서 
자기의 통과암호를 변경시킬수 있게 할수도 있고 또는 그들이 자기의 통과암호를 변 
경시키는것을 막을수도 있으며 통과암호에 사용기한을 설정해 놓을수도 있다. 

• 가입 시 간과 워 크스테 이 션 : 사용자가 언제 어 느 콤퓨터 에 가입하는것 을 허 락하겠는 
가를 지 적할수 있다. 가입 시 간이 만기 되 였을 때 원격사용자를 봉사기 로부터 강제 로 
분리시키 기 위한 설정은 사용자를 내버 리겠는가 아니면 현존하는 대 화를 계속할것 인 
가를 결정 한다. 

• 사용자프로필경 로와 가입스크립 트이 름 : 프로필 은 사용자의 프로그람그룹들，망접 속 
들，화면색 갈 등 탁상형 콤퓨터 환경 을 정 의한다. 가입 스크립 트는 사용자가 가입할 때 
자동적 으로 실행되는 묶음파일 또는 실행 가능한 파일 이다. 

• 흠등록부 : 홈등록부가 국부콤퓨터 에 있는가 아니 면 망봉사기 에 있는가를 지 적할수 
있 다. 

• 등록자리형 : 등록자리는 전역 혹은 국부적일수 있다. 제7장 4절 1에서 그 차이를 설 
명 한다. 

• 만기 날자 : 기 정 값으로는 등록자리 가 만기날자를 가지 지 않는다. 

4. 보안식별자 

매 사용자，그롭，콤퓨터등록자리 는 유일한 보안식 별 자번호 ( SID ) 를 가지 는데 이 
SID 는 자유접근조종에 리용된다. SID 는 등록자리가 창조될 때 만들어 지고 등록자리의 
수명 이 끝날 때까지 고정된다. SID 의 구축에 모조 ( pseudo ) 우연입 력 (시계값)을 리용하 
므로 등록자리 를 제 거 하고 그와 곡 갈은 파라메터 로 다시 만들어 도 꼭 같은 SID 를 엄 는 
것은 기대 할수 없다. 이때 새로운 등록자리는 낡은 등록자리에 주어 진 접근허가를 유지 
하지 않는다. 

령역 이 만들어 지면 유일한 SID 가 이 령역 에 구축된다. 워크스테 이션 또는 봉사기 
가 령역에 가입하면 령역의 SID 를 포함하는 하나의 SID 를 받는다(콤퓨터들이 갈은 령역 
안에 있는가를 검 사하는데 그것 들의 SID 를 리용한다) . SID 들은 변경 시 킬수 없기 때 문에 
령역 들사이 에서 령 역조종기 를 옮기 는것은 간단한 관리처 리 가 아니 다. 콤퓨터 는 완전히 
다시 설 치되 고 론리적 으로 <새 로운> 콤퓨터 로 되 여 새 로운 SID 를 받아야 하며 새 로운 
령 역안의 조종기 로 된다. 

다른 콤퓨터의 뿌리 등록부와 구성 파일을 복사하는 방법 으로 새 로운 콤퓨터 를 설치하 
는것은 같은 SID 를 가진 두대의 콤퓨터를 만들게 되므로 Windows NT 보안모형 에 위 반 
된 다. 
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5. Windows NT 객체들에 대한 접근 

Windows NT 는 객체지향적으로 설계된 수법이다. 처리, 사용자등록자리，자원， 
파일，등록부 등이 모두 일정한 형태의 객체들이다. 객체에 대한 자유접근조종은 객체의 
형 에 의존한다. 실례 로 파일에 로의 접근조종은 인쇄대기렬에 로의 접근조종과 차이난다. 
객체에 대한 접근은 주동체에 주어 진 허가를 통해서 조종된다. 매 객체는 다음의 내용 
들을 포함하는 보안서술자를 가진다. 

• 객체소유자의 보안 ID 

• POSIX 부분체계에 의해서만 리용되는 그룹보안식별자 

• 접근조종목록 ( ACL ) 

• 발생 할 검 사통보를 조종하는 체 계 접 근조종목록 

ACL 은 접근조종과 검사허 가를 포함한다. 주동체 또는 그룹에 대 한 접근조종목록기 
입 항목 ( ACE ) 은 다음과 갈다. 

• AccessDenied (접근거부) 

• Access Allowed (접근허락) 

• System Audit (체계 검열) 

AccessDenied ( 접 근 거 부 ) 기 입 항 목 은 ALC 에 서 늘 첫 항 목 으 로 된 다 . 매 
AccessAllowed (접 근허 탁)기 입 항목은 접 근허 가의 목록이 다. 접 근허 가는 객 체 의 형 에 따 
라서 고유하다. 다음절 에 서 론의 할 NTFS 파일 체 계 에 대 한 접 근허 가는 그러 한 접 근허 가 
모임의 실례로 된다. 

또한 모든 형의 객체들에 적용하는 표준접근마스크가 존재한다. 대표적실례는 다음 
과 같이 객체의 보안속성의 관리 에 귀 착되는 허 가들이다. 

Write _ DAC ： 자유 ALC ( AccessDenied 와 AccessAllowed 기 입 항목들) 을 변경 
Read _ Control ： 보안서술자에 대한 읽기접근을 허락 또는 거부 
Delete ： 객체에 대한 접근허가를 주거나 거부하거나 또는 지우기 

주동체가 객체에 대한 접근을 요구하면 보안참조감시기는 주동체가 요구한 접근을 허 
락할것 인가를 결정 하기 위하여 주동체 의 보안접 근통표 ( SAT ) 와 객체의 ACL 을 취 한다. 
주동체의 허가로부터 요구하는 접근마스크가 구축된다. 

만일 ACL 이 존재하지 않으면 검 사가 집 행되지 않고 접 근이 허 락된다. 만일 ACL 이 
존재하면 매 ACE 에 대 해 주동체 의 SID ( SAT 안에 있는) 가 ACE 안의 SID 들과 비 교된 다. 
다음의 3가지 경우들이 가능하다. 


1. ACE 는 일 치하는 SID 를 포함하지 않는다. 그러한 ACE 는 뛰 여 넘 는다. 
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2. ACE 는 《 AccessDenied 》 를 지 정 하는 일 치 하는 SID 를 포함한다. 
AccessDenied 기입항목들이 먼저 놓이므로 그 주동체에 대한 접근이 허락된 어 
떤 ACE 보다도 먼저 처리된다. 만일 바라는 접근마스크가 Read_Control 또는 
Write_DAC 요구를 가지고 있고 주동체가 객체의 소유자라면 접근이 허락된다. 
다른 경우 접근은 거부되고 더이상 검사를 진행하지 않는다. 

3. ACE 는 《 AccessAllowed 》 을 지 적 하는 일 치 하는 SID 를 포함한다. 만일 ACE 
안의 점 근마스크가 이 미 검 사된 일 치하는 모든 ACE 들의 접 근마스크들과 함께 
요구하는 접근마스크안에서 모든 허가들을 포함하면 접근은 허락되고 더이상 검 
사를 진행하지 않는다. 그밖의 경 우에 는 람색 을 계 속한다. 

만일 람색이 ACL 의 마감에 이르기까지 접근허가를 받지 못한 상태이면 접근은 거부 
된 다. 따라서 ACL 이 비 면 접 근은 항상 부정 되 며 ACL 이 존재하지 않으면 접 근은 항상 
허락된다. 

A 흔히 조작체계는 접근조종정보를 여러 장소에 보관한다. 때문에 어떤 순서로 
ᆻ 검사가 진행되는가를 아는것 이 중요하다. 때때로 처음으로 일치하는 접근조종 
기 입항목만이 참고된다. 다른 때 에는 후에 나타나는 보다 더 적 절한 기 입항목 
들이 앞의 항목들을 무효화하게 된다. 끝으로 조작체계가 접근요구에 일치하 
는 기 입항목을 찾지 못했을 때 어 떻게 반응하는가를 알아야 한다. 


6. NTFS 과일체계 


NTFS(New technology file system ) 에 대 한 특정 한 접 근허 가는 구동기，등록부, 파일 들 
에 대 한 접근을 제 한한다. 파일의 소유자가 다른 사용자나 그롭에 대 하여 접근허가들을 
정 의한다. 기 본적 인 허 가들은 다음과 갈다. 


• 읽 기 ⑵ 

• 쓰기 ( W ) 

• 실 행( X ) 

• 지 우기 ( D ) 

• 접 근허 가의 변경 ( P ) 

• 소유권가지 기 (◦) 

다음의 접근허가들이 파일들에 적용된다. 

• NoAccess ： 어떤 접근도 막으며 사용자가 그룹성원자격을 통해서 가질수 있는 그 
어떤 다른 접근도 무효로 한다. 

• Read ( RX ) : 읽기 및 실행접근만 허 락한다. 

• Change ( RWXD ) : 읽 기，쓰기，실 행 그리 고 지 우기 접 근을 허 락한다. 

• Full Control ( all )： 파일의 읽기，쓰기，실행，지우기를 허락하며 접근허가를 변경 시 
키는것과 소유권을 가지는것을 허 락한다. 
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• Special Access ： 파일의 읽기，쓰기，실행，삭제허가와 접근허가의 변경，소유권획 
득의 어떤 조합이 될수 있다. 

사용자의 접근허가들은 사용자마다 개별적으로 설정한 허가들로부터 그리고 그 사용 
자가 속해 있는 모든 그롭들의 허가들로부터 유도된다. 다만 《 NoAccess 》 사용자허 가 
만은 관련된 그룹허가들을 무효로 한다. 한편 사용자는 자기가 직접 지적한것보다 더 많 
은 허가를 가질수 있다. 

ᅀ 리상적으로는 조직적보안방책 이 동일한 요구를 가지는 사용자들을 관리하기 
쉬운 일련의 그룹으로 가론다. 실천에서는 항상 례외가 있게 된다. 따라서 
례외를 정의하는데서 허 가들을 회 수하거 나 새 로 첨부하는 기구들은 적절하 
게 사용하면 쓸모 있는 도구로 된다. 


새로운 파일이 창조되고 NTFS 허가들이 어미등록부에 적용되였다면 그 파일은 어미 
등록부로부터 접근허 가들을 상속 받게 된다. 

한편 《 Everyone 》 은 새로 창조된 모든 파일들에 대해 《Full Control 》 허 가를 가 
진다. 등록부들에 대한 허가는 다음과 같다. 

• NoAccess ： 등록부에 대한 어떤 접근도 막으며 사용자가 그룹내에서의 성원자격을 
통해서 가질수 있는 어떤 다른 접근도 무효로 한다. 

• List ( RX )： 사용자는 등록부와 그의 부분등록부안에 있는 파일들을 렬거할수 있다. 

• Read ( RX )： 사용자는 등록부와 그의 부분등록부안에 있는 파일들을 렬거하거나 열 
수 있고 부분등록부안으로 옮기거나 응용파일들을 실행할수 있다. 

• Add ( WX )： 사용자는 파일들을 등록부에 추가할수 있으나 등록부의 내용을 볼수는 
없다. 

• Add and Read ( RWX )： 사용자는 파일들을 보거나 열수 있고 응용파일들을 실행할 
수 있으며 파일들과 부분등록부들을 추가할수 있다. 

• Change ( RWXD ) : 사용자는 파일들을 읽기，쓰기 , 실행，삭제 할수 있으며 파일들과 
부분등록부들을 추가할수 있다. 

• Full control ( all ) : ACL 들에 대 한 고려 없 이 부분등록부들을 비 우거 나 파일 들을 지 
우기할수 있는 허가를 포함하여 등록부우에서의 완전한 접근을 가진다. 

• Special Directory Access ： 등록부허 가들의 어떤 조합이 될수 있다. 

• Special File Access ： 파일접근허가들의 어떤 조합의 창조를 허용한다. 

파일이 등록부들사이에서 이동할 때 그의 NTFS 허가들은 보존된다. 파일이 복사될 
때에는 목적등록부의 허가를 넘겨 받는다. 등록부에 대한 지우기허가를 가진 사용자는 
그 등록부내 에 있는 어 떤 파일 도 지 우기할수 있 으며 파일 그자체 에 대 한 지 우기 허 가를 
따로 요구하지 않는다. 

검 열해 야 할 사건들은 읽 기，쓰기，실행，삭제，접 근허 가의 변경，소유권획득이 다. 
관리 자는 어 느 사건을 감시 하겠는가를 결정할수 있다. 
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7. 공유 

공유란 망통신규약들과 조작체계들이 분리된 실체였던 시대의 유물이다. 공유는 망 
사용자(대화형사용자와 혼돈하지 말것)가 파일이나 등록부에 어떻게 접근할수 있는가를 
조종한다. 사용자는 읽기만을 위해서 또는 완전접근을 위해서 통과암호를 설정함으로써 
《공유된》파일에 대한 망접근을 허 락할수 있다. 이 도식은 통과암호에 기초한 접근조 
종의 모든 결함을 그대 로 가지게 된다. 즉 

• 서로 다른 통과암호들이 서로 다른 공유자원들에 기억되여야 한다. 

• 공유자원에 대한 통과암호는 접근을 허가할 모든 사용자들에게 공유되여야 한다. 

더우기 공유들은 실제로 접근요구들의 검열을 지원하지 않는다. 망사용자들은 공유 
들을 통해서뿐아니라 그들이 접근하려고 하는 체계에 설정된 NTFS 허가들을 통해서도 
조종된다. 


제5절. 접근조종-관리 


앞에서는 Windows NT 의 본질적인 접근조종기구에 대하여 보았다. 여기서는 보안 
관리의 문제에로 방향을 돌리기로 한다. 내장된 등록자리, 위임프로필, 령역，신용관계 
등은 보안관리를 보다 쉽게 할수 있는 개념들이다. 

1. 국부 및 전역그룹 

그룹이란 사용자등록자리들의 집합을 말한다. 그룹의 성원들은 그 그룹에 주어 진 
사용자등록자리들과 허가들을 계승한다. 그룹들을 조종의 중간층으로 볼수 있다. 객체들 
에 대한 허가는 그룹에 주어 진다. 사용자는 이 그룹의 성원으로 됨으로써 객체에 대한 
접근허가를 가지게 된다. 그룹에 주어 진 허가들은 이 그룹의 개별적성원들로부터 선택 
적으로 회수될수 있다. 만일 어떤 성원이 어떤 특별한 파일에 접근하지 말아야 한다면 
체계관리 자는 그 파일에서 그 사용자를 위 한 허 가를 NoAccess 로 설정 하여 야 한다. 

령역내에서 그룹들은 령역전체에 대해서 포괄적으로 정의되거나 혹은 개별적워크스 
테이션에 대해서 국부적으로 정의될수 있다. 

• 전역그룹: 령역에 대해서 정의되며 사용자등록자리만을 포함하고 그밖의 그룹등록자 
리는 포함하지 않는다. 

• 국부그룹: 워 크스테 이 션에 대 해서 정의 되며 사용자등록자리와 전역그롭을 다 포함 
한다. 

전역그룹들과 국부그룹들은 주동체 와 객체 들사이 에 두개의 조종층을 설 치 하는 수단 
을 제 공한다(그림 7-2). 전역그룹들은 동일 한 접 근권한을 가지 는 사용자들을 묶는다. 어 
떤 기계에 있는 객체들에 대한 허가는 개별적사용자등록자리들이 아니라 그 자원들에 접 
근해 야 하는 전역그룹들을 포함하는 국부자원그롭에 주어 진다. 
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이러한 그룹구조에 대한 해제는 두가지 방법으로 정의될수 있다. 앞서 본것처럼 
( NoAccess ) 허가를 통하여 그룹성원으로부터 허가들을 회수할수 있다. 사용자등록자 
리를 관계되는 국부그룹안에 배 치 함으로써 사용자에게 보충적 인 허가들을 줄수 있다. 


코끼리 사자 아델리에 흉볼트 



그림 7-2. Windows NT 에서 전역 및 국부그룹 


2. 사용자권한 

사용자권한은 개별적인 객체들에 대한 접근을 조종하지 않는다. 오히려 사용자가 체 
계에서 무엇을 하도록 허락되였는가를 지적한다(다른 조작체계들에서는 류사한 개념들을 
특권이 라고 한다). 

대표적인 사용자권한은 검사，여벌복사，체계끄기와 같은 체계관리작용을 할 권리이 
다. 국부적 또는 망상에 있는 콤퓨터에 대한 접근도 사용자의 권한으로 조종할수 있다. 
더우기 소유자로 하여금 접근조종을 우회하게 하는 사용자권한도 있다. 객체의 소유권을 
획득하기 위한 권한을 실례로 들수 있다. 

표준접근조종절차에 따르면 어떤 등록부에 대한 접근이 부정된 사용자는 그 등록부 
안의 어 떤 파일의 ACL 에 의하여 접 근이 허 락되 였 다 해 도 그 파일 에 접 근할수 없 다. 
그러 나 등록부경 로에서 ACL 들은 검사를 우회할 권한을 가진 사용자에 대 해서는 검사를 
하지 않는다. 기정값으로 모든 사용자가 이 권한을 가진다. 보다 명백한 접근조종방책을 
가지 기 위해 사용자와 그룹들로부터 이 권한을 제 거할것 을 권고한다. 

3. 기성그룹 

기성등록자리들과 그롭들은 미리 정의된 사용자의 권한과 허가들을 가진다. 
Domain Admins (령 역 관리 자 )， Domain Users (령 역 사용자 )， Domain Guest (령 역 손님 ) 
와 갈은 몇개의 전역적인 기성그롭들이 존재한다. 
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대부분의 기성그룹들은 대체로 Administrators, Backup Operators, Users, Guest 
와 갈은 국부그룹들이 다. 

체계관리 자들은 보안방책을 실현할 때 될수록 기성그룹들을 리용하는것 이 좋다. 그 
리고 꼭 그렇게 해야 할 리유가 있을 때에만 여러가지 허가패턴을 가진 그룹들을 정의해 
야 한다. 

A 보안전문가가 아닌 사용자들이 보안특징차림표에서 전문가적인 선택을 할수 
는 없다. 이러한 상황에서는 표준요구에 따라 미리 정의된 보안특징설정을 
리용하는것이 좋다. 

Windows NT 에서 체계관리는 기성국부그룹의 관리 자로 할당된 사용자가 수행 한다. 
기성등록자리 Administators 는 Windows NT 가 설치될 때 창조된다. 이 등록자리는 자 
동적 으로 국부 Administrators 그룹의 한 성 원으로 되 며 제 거할수도 없 고 금지 시 킬 수도 
없다. 

Unix 에서와는 달리 Administrators 는 모든 파일에 접근할수 있는 특권사용자특권 
을 자동적으로는 가지지 못한다. Administrators 가 자동적인 접근을 할수 없게 파일에 
대 한 허 가를 설 정 할수 있 다. 정 상적 인 체 계 관리 작용은 Server Operators, Backup 
Operators, Account Operators, Print Operators 와 같은 기성 국부그룹들에 할당된 
등록자리들로부터 수행되여야 한다. 이 그룹들의 권한은 그것들의 과제에 맞게 제한된다. 
워 크스테 이 션에서 Power User 등록자리 는 인쇄 기 나 국부등록자리 와 같은 국부자원들을 
취급할수 있다. 

이와 같이 접근권한들을 세밀하게 분할했어도 Administrator 등록자리는 여전히 자 
기 에게 적용된 제 한들을 우회할수 있는 지위 에 있다. Backup 과 같은 적은 권한을 가진 
기 성 국부그롭들조차 Backup 이 현존하는 파일 보호를 무시 하므로 접 근조종을 우회할 기 
회를 가진다. 

만일 사용자가 체 계관리 자로서 작업한다면 이 사용자의 등록자리 를 Domains 
Admins 기성국부그룹안에 넣고 이 국부그룹을 Administrators 안에 넣는다. 이것은 사용 
자등록자리 를 직 접 국부관리 자그룹에 배 치하는데 리 용할수 있다. 체 계관리 자로서 작업 하 
는 사용자는 보안의 리 유로 하여 Users 국부그룹에 배 치할수 있는 예 비 등록자리 를 가지 
고 있어야 한다. 그러나 사용자가 한 등록자리에서 다른 등록자리에로 변경할 때 랄퇴하 
고 다시 가입해 야 하므로 불편한 점 이 있다. 

Guests 등록자리는 통과암호를 요구 하지 않으며 사용자에게 인증을 요구 하지 않는 
자원에 대한 접근을 줄 때 리용할수 있다. 그러나 허가는 다른 사용자등록자리에서처 
럼 이 등록자리에 주어 질수 있다. Windows NT 가 설치될 때 Guests 등록자리는 금 
지된 다. 

이외에도 접근허가들을 효과적으로 정의하는데 리용할수 있는 기성그룹들이 더 존재 
한다. 

• Everyone : Guests 를 포함하여 모든 국부 및 원격 사용자들을 포함한다. 이 그롭은 
모든 사용자들에 대한 허가를 허락 및 부정하는데 쓴다. 

• Interactive ： 국부적으로 가입한 모든 사용자들을 포함한다. 

• Network ： 망상에서 가입한 모든 사용자들을 포함한다. 

• System ： 조작체계 
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• Creator Owner ： 파일 또는 자원의 창조자나 소유자 

4. Windows NT 에서 신용관계 

중간조종층들은 보관관리를 효과적으로 하게 한다. 조직이 콜수록 중간층은 더욱 편 
리 하며 전역 그룹들이 나 국부그룹들 그리 고 기 성 등록자리 들만으로는 보관관리 를 충분히 
할수 없다. 여기서는 보안조종의 다음단계로서 령역을 리용하고 령역들사이에 신용관계 
를 설정한다. 

한방향신용관계에서는 신용 받는 령역 (trusted domain ) 과 신용하는 령역 (trusting 
domain ) 을 가진다. 신용 받는 령역 으로부터의 사용자등록자리는 신용하는 령역 에서도 
유효하다. 두방향신용관계 는 2개 의 한방향신용관계 를 설정 하여 수립 할수 있 다. 신용관계 
들은 이동성을 가지지 않는다. 즉령역 A 가 령역 B 를믿고령역 B 가령역 C 를 믿는다 
고 해서 령역 A 가 령역 C 를 믿는것은 아니다. 기술적으로 신용관계를 다음과 같이 설정 
할수 있다. 

• 신용 받는 령역의 관리 자는 신용하는 령역의 이 름을 지 적하는 중간령 역신용등록자리 
를 설정 하고 이 령역의 통과암호를 선택한다. 

• 이 통과암호는 신용하는 령역의 관리 자에 게 주어 져 야 한다. 

• 신용하는 령역의 국부보안권 ( LSA ) 은 신용 받는 령역의 이름과 SID 를 포함하는 신 
용 받는 령 역객체를 창조하고 신용 받는 령역의 관리 자에 게서 수신한 통과암호를 포 
함하는 비밀객체를 만든다. 

• 그다음에 신용하는 령역의 LSA 는 중간령 역신용등록자리 를 리용하여 신용 받는 령 
역에로 가입하려고 시도한다. 이 시도는 중간령역등록자리를 가입에 리용할수 없으 
므로 실패를 전제로 한것이지만 귀환된 오유통보문은 등록자리가 존재한다는것을 확 
증해 준다. LSA 는 계속하여 후에 신용 받는 령역으로부터의 접근요구를 처리할 때 
요구될 신용 받는 령 역 의 령 역 조종기 에 대 한 정 보를 갱 신한다. 

• 신용받는 령역과 신용하는 령역사이에 공유된 통과암호는 신용하는 령 역안에 있는 
PDC 에 의해서 관리되며 규칙적으로 갱신된다. 통과암호는 사용자인증이 진행되는 
동안 부정거래를 막기 위해 리용된다. 

신용관계들은 어떻게 리용될수 있는가? 실례로 어떤 조직에서 모든 사용자등록자리 
들을 하나의 단일등록자리 령역에 넣을수 있다. 서로 다른 구역들에 소유된 자원들은 자 
원령역들에 배 치된다. 다음에 신용 받는 령역 으로는 등록자리 령역을 그리고 신용하는 령 
역 들로는 자원령역 을 가지 고 한방향신용관계 를 수립한다. 

그림 7-3 의 실례에서 사용자 요년에게 자원 Colour Printer 에 대한 통제된 접근을 
주기 위하여 다음과 같이 한다. 등록자리령역에 있는 전역그룹 Researchers 에 Alf 를 넣 
는다. 자원 령역 PRINTERS 안에 국부그룹 Colour Printer 를 정 의한다. 신용 받는 령 역 
으로서 EMPLOYEES 와 신용하는 령 역 으로서 PRINTERS 를 가지 고 신용관계 를 수립 한 
다. 신용하는 령역에 있는 국부그롭 Colour Printer 에 신용 받는 령 역의 전역 그룹 
EMPLOYEES ' Researchers 를 추가한다. 사용자 Alf 가 접근을 요구할 때 신용하는 령 
역 에 있는 LSA 는 신용 받는 령역에 있는 령 역조종기로부터 사용자의 권한들과 허 가들 
을 되찾게 된다. 
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자원령 역 
PRINTERS 
.(班용하는) 


그림 7-3. 령역 들사이 의 신용관계 

어 떤 조직내 에서 중심화된 사용자등록자리 와 체계관리는 사용자등록자리자료기지 와 
관리 자그룹들을 포함하는 주령역 을 창조함으로써 실 현될 수 있 다. 이 주령역 은 다른 모든 
령역 들에 의해 신용 받으며 따라서 주령역 에서 등록자리 를 가지 는 사용자들은 다른 모든 
령역 들에 접 근할수 있 다. 주령역 으로부터 관리 자그롭들은 국부령역 에 있는 각각의 그롭들 
에 배치된다. 령역에 대한 접근을 얻기 위해서 그 령역에서의 등록자리를 요구하거나 또 
는 그에 의해 신용 받는 령역 에서의 등록자리를 요구하게 된다. 이 규칙 에서 한가지 례 외 
가 있다. 다른 령역의 워크스테 이 션들에 대 한 접근을 얻 자면 그 워크스테 이 션에 관한 국 
부등록자리를 자신의 정규령역등록자리에서와 득 같은 이름으로(통과암호도) 창조할수 있 
다. 같은 이름을 가지는데도 불구하고 이 두개는 서로 다른 등록자리 이며 워크스테 이션은 
일 치하는 등록자리 를 가지 기만 하면 접 수할것 이 다. 두개 의 등록자리 들이 서 로 다른 통과 
암호를 사용한다면 국부등록자리에 관한 통과암호를 입력해야 한다. 

5. 우 I 임된 프로필 

사용자의 프로필은 사용자의 탁상콤퓨터환경 즉 특별히 사용자가 호출할수 있는 프로 
그람을 정의 한다. 위 임된 프로필 (mandatory profile ) 은 사용자가 변화시 킬수 없다. 위 임 
된 프로필은 사용자의 탁상콤퓨터환경 에 제공된 편의프로그람들 즉 Program Manager 을 
제 한할수 있기때 문에 하나의 보안기 구이 다. 관리 자는 사용자의 탁상콤퓨터 환경 에서 리 용 
할수 있는 특징들을 정의 하는 사용자프로필 안에 제 한들을 설정 할수 있다. 

제 한 들 은 EditLevel , Noclose , NoFileMenu , NoRun , Nosave , Settings 
Restrications , Show Command Groups 에 지 정 할수 있 다. EditLevel 을 실례 로 들면 
사용자가 자기의 Program Manager 를 변경하는 방법을 제한한다. EditLevel 은 다음의 
값들을 가질수 있다. 
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2： 


모든 변경을 허락한다. 이것은 기정설정값이다. 

사용자가 그룹의 창조, 지우기，다시 이름짓기를 막는다. 

EditLevel = l 의 제 한을 포함하며 사용자가 프로그람항목을 만들거나 지우는것을 






3： EditLevel =2 의 제한을 포함하며 사용자가 프로그람항목의 지령행을 변경시킬수 
없게 한다. 

4： Edi 匕 evel =3 의 제한을 포함하며 사용자가 어떤 프로그람항목의 자료를 변경시 
킬수 없게 한다. 


제6절. 검 열 

Windows NT 는 검열기록을 보존한다. 검열기록안의 항목들은 보안참조감시기 
(Security Reference Monitor ) 에 의해서 발생된다. 검열기록에 기록된 보안관련사건들 
은 정당한 또는 부정당한 가입시도들, 특권리용，자원(또는 파일)의 창조, 지우기，열기 
와 같은 사건들을 포함한다. 기록할 사건들은 User Manager 의 Policies Menu 와 
FileManager 의 Security Menu 에 서 선택할수 있 다. 관리 자만이 이 봉사프로그람들을 
실 행 시 킬수 있 으며 검 열 기 록을 관리 할수 있 다. 검 열 기 록은 Event Viewer 에 의 하여 조 
사된 다. 

검열기록의 최대크기는 Event Viewer 에서 설정할수 있다. 기록이 그의 최대크기에 
이르면 Windows NT 는 다음의 3가지 선택적인 대책을 요구한다. 

• Overwrite events as needed ： 검열기록안에서 제일 오랜 항목우에 덧쓰기를 한다. 

• Overwrite events older than[] days ： 지적된 한계보다 더 오랜 기입항목들우에 

덧쓰기한다. 

• Do not overwrite events: 기록을 새 사건을 기록하기에 앞서 수동적으로 지워야 
한다. 

체계관리자는 마지막 두개를 선택하여 체계를 설정함으로써 기록이 가득 찼을 때 자 
동적 으로 콤퓨터 가 꺼 지 도록 할수 있 다. 등록고안에 있는 CrashOnAuditFail 기 입 항목 
은 다음과 같이 설정된다. 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentCon 仕 olSet \ Con 仕 ol \ Lsa 
Name : CrashOnAuditFail 
Type : REG_DWORD 
Value : 1 

이 설정은 오렌지부크 C 2 요구들에 맞추기 위해 필요할수 있다. 


제7절. 마丄의 보안측면 

동적련결서고는 프로그람이 실행될 때 련결되는 쏘프트웨 어모둘들이다. DLL 코드는 
그의 주프로그람의 권리를 가지고 실행된다. 트로이목마코드는 트로이목마 DLL 에로 프 
로그람을 유인하든가 아니 면 원래 의 DLL 자체 를 수정하여 끼 워 넣 을수 있 다. 

1. DLL 기만 

련결알고리 듬은 DLL 의 위 치를 지정 하기 위한 세 가지 선택을 가지 고 있다. 알고리 
듬은 다음과 갈은것들을 람색 할수 있다. 
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• 프로그람등록부: 주프로그람의 실행가능한 파일을 보관하고 있다. 

• 체 계 등록부 

• 작업등록부: 주프로그람을 호출하는 처리의 현행등록부 

첫 두개 의 장소들은 미 리 알려 져 있 어 서 DLL 에 로의 접 근을 보호하기 위한 적 당한 
대 책을 취 함수 있다. 문제는 마지막선택에서 발생한다. 만일 련결알고리듬이 작업등록부 
를 람색한다면 공격자는 원래의 DLL 과 꼭 갈은 이름을 가진 트로이 DLL 을 사용자가 작 
업 등록부로 쓸수 있는 등록부에 배 치할수 있을것 이 다. 이 공격 을 막기 위 한 대 책을 위 해 
서는 Windows NT 를 보다 구체적으로 고찰해 야 한다. 

2. ■보부분품 

통보부분품 (notification Package) 은 다른 조작체 계 와 망제 품들이 Windows NT 와 
함께 실행하는 환경에서 단번서명을 돕기 위해 도입된 기구이다. 통과암호를 공유하는것 
을 허 락하기 위 해 통과암호를 해득해 야 하며 그다음에 평 문통과암호가 통보부분품이라고 
부르는 DLL 에 의하여 취급되 여 야 한다. 사용중에 있는 DLL 은 잠그어 져 있으며 보호 
되여 있다. 사용하지 않는 DLL 과 모든 사용자가 변경허가를 가지는 등록부안에서 있는 
DLL 은 평문통과암호를 획득한 트로이목마코드로 바껄수 있다. 


이 장의 문헌안내 

특정한 조작체 계 에 관한 대 부분의 보안편 람들은 보안체 계 의 겉 면만을 취 급하고 있 
다. 이것들은 제공된 특징들과 관리측면에 초점을 두고 있다. 이 편람들은 독자들에게 
체 계보안을 어 떻게 관리하는가가 아니 라 보안체계특징들을 관리하는 방법 을 가르쳐 주 
고 있다. 

초보적 인 준위에서 Windows NT 보안을 취급하며 많은 련습을 포함하는 참고문헌 
은 [149] 이 며 [63,13 的 들은 이 미 조작체 계 를 많이 다투어 본 독자들에 게 적 합하다. 마이 
크로쏘프트의 지 식 기지 와 마이 크로쏘프트의 다음의 Web 폐지 는 조작체 계의 보안특징 들， 
보안경보，관할구역들에 대한 정보를 포함한다. 

http：//www . 마이크로쏘프트 . com/security 

약점을 분석하는 Windows NT 보안의 NSA 평가와 적절한 대책에 관한 지도서는 다 
음주소로부터 찾아 볼수 있다. 

http ： //www. T rustedSy stems. com 

Windows NT 보안에 관한 기 타 유용한 자원들은 다음주소들에 있다. 

http ： //www. ntshop. net 

http : / / www. ntresearch. com/link. htm 

Windows NT 이 외 에 재 정 분야에 서 대 중적 인 안전조작체 계 는 참고문헌 [163] 에 서 제 
시 한다. RACF 에 대 한 정 보, IBM 의 Resource Access Control-Facility (자원접 근조종 
기구)에 관한 정보는 다음폐지에서 찾을수 있다. 

http：// www. s390. ibm .com/ racf 
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AS /400 (Application System 400) 은 중규모를퓨터들을 위한 IBM 조작체계이다. 이 
조작체계는 객체지 향적 인 조작체계 로서 통속적 이며 상당히 안전한 체계 로 리용되 였다. 
AS /400 의 보안에 대 해서는 참고문헌 [12 幻 에서 참고할수 있다. 


련습문제 

1. 등록고에 대 한 호출은 등록고편집 기 에서 접근허 가를 설정하거 나 등록고열쇠 에 대 한 
접근허 가를 정의 함으로써 조종할수 있다. 이 두 방법 에 의한 보호결과를 비 교하시 오. 

2. Windows NT 에서는 BIOS 통과암호를 정의 할수 있다. 이 통과암호는 오직 수동적 으로 
만 입력할수 있다. 이 사실로부터 통과암호선택에 관하여 어떤 요구가 나서는가? 

3. Windows NT 에서 령역은 워 크스테 이 션과 령 역 조종기 로 구성 된다. 관리 자등록자리 
와 령 역안의 모든 콤퓨터 들은 같은 통과암호를 가져 야 하는가? 

4. Unix 통과암호와 Windows NT LAN Manager 통과암호들을 블로크암호로 암호화 
하는 방법들을 비교하시오. 암호화된 LAN Manager 통과암호는 해득할수 있지만 
Unix 통과암호는 해득할수 없다. 겉으로 보기에는 비슷한 알고리듬이 왜 이렇게 차 
이나는 속성을 가지는가? 

5. Unix 와 RACF 그리고 Windows NT 에서 접근권한은 사용자와 그롭에 대하여 정의된 
다. 더 좋은 보안관리를 위하여 사용자들은 그룹으로 묶어 질수 있다. 이 3개의 조작 
체계는 사용자가 그룹보다 낮은 특권을 가질 때 접근요구를 어떻게 결정하는가? 그룹 
에 주어 진 접근권한이 어떻게 개별적인 성원들에게서는 억제 당하는가? 

6. 프로그람을 실행시키려면 실행가능한 프로그람파일에 어떤 허가가 요구되는가? 사용 
자가 자기의 복사본을 만드는것을 어떻게 막을수 있는가? 사용자들이 자기의 복사본 
을 실행시키게 하면 어떤 보안위험이 생길수 있는가? 

7. 신 용관계 는 이 동적 인 가? Windows NT 의 령 역 들사 이 신 용관계 와 Unix 체 계 
의 .rhosts 를 비교하시오. 

8. Windows NT 4.0 에서 령역은 약 10000개의 사용자등록자리 를 지 원할수 있다. 만 
일 체계가 더 많은 사용자들과 주령역모형의 원리들을 취급해야 한다면 어느 령역과 
신용관계를 설정해야 하는가? 

9. 사용자에 게 원격 워 크스테 이 션에 대 한 접 근을 주기 위하여 정 합등록자리 를 리 용할 때 
무엇이 관리적이며 보안과 관련되는가? 

10. DLL 침 입 을 막는데 리 용할수 있는 방어방법 을 연구하시 오. 

11. Windows NT 는 많은 측면에서 Unix 보다 많은 보안특징들을 제공한다. 일부 비평 
가들은 사용자들이 너무 많은 보안특징들로 하여 복잡해 질수 있으며 결과적으로 쓸 
모가 없다고 주장한다. 보안특징들을 무엇을 지향하여 확장하여야 하는가? 만일 특 
징이 너무 많거나 너무 적다면 어떤 문제가 생기겠는가? 
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제 8 장. 보안실패의 원인과 대책 


콤퓨터보안은 무엇인가 잘못되면 통보를 내보내거 나 오동작하게 된다. 보안오유의 원인 
을 마지막까지 추적하면 대체로 다음과 같은 3가지 원인중의 하나라는것을 알수 있다. 

• 변경 ( change ) 

• 자만 ( complacency ) 

• 편리 ( convenience ) 

이 장은 흔히 있는 실수 ( mistake ) 들을 반복하지 않도록 경고를 주는것을 목적으로 
한다. 콤퓨터비루스에 대한 부분 즉 콤퓨터보안에서 가장 눈에 뜨이는 콤퓨터위험의 측 
면들을 취급한다. 


목적 

• 대부분의 보안오유를 일으키는 기본원인들을 제시한다. 

• 실수들이 자주 되풀이되고 있다는것을 인정한다. 

• 보안체 계 를 설계할 때 취 할 예 방책 에 대 하여 리 해 한다. 

• 콤퓨터비 루스와 항비 루스쏘프트웨어 에 대 하여 소개 한다. 


제1절. 소 개 

여기서는 를퓨터보안이 접근조종방책를 시행한다는것을 전제로 한다. 이것은 다음과 
같은두가지 측면을 의 미 한다. 

1. 우선 응용분야의 보호요구를 반영 하는 접근조종방책을 형식화하여 야 한다. 

2. 콤퓨터체 계는 조종을 회 피하거 나 무효화하려는 적극적 인 시도가 있을 때 그 방 
책 을 시 행하여 야 한다. 

복잡한 체계를 실현하는것은 어려운 과제이며 조작체계에는 보안결함들이 있다는것 
을 예상하여야 한다. 그런데 놀랍게도 이러한 결함들의 원인을 보면 흔히 매우 단순한 
프로그람작성실수들이며 많은 공격들은 교묘한 기교나 깊은 기술적지식에 의해서가 아니 
라 잘 알려 진 보안약점 (또는 설계 특징)들을 리 용한다는것 이 다. 누군가에게서 얻은 도구 
를 가지 고 체 계의 약한 점들을 람색하는 공격 자들은 보안관리자의 사업 을 어 렵고 시끄럽 
게 한다. 보안문제들의 주요원인은 다음부류들에 해당한다. 

• 환경변화 

• 경계와 문장론검 사 

• 편리하지만 위험한 설계특징 

• 통제된 호출 (Controlled Invocation ) 로부터의 탈퇴 

• 낮은 층에서의 우회 

• 통신규약실현에서의 빈름 
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몇가지 실례들을 통해 이 문제들을 보기로 하자. 실례들은 널리 알려 진 정보들을 
사용하도록 선택하였다. 일부 조작체계들을 자주 언급한다고 해서 그것들이 완벽한 보안 
을 실현한것으로 오해하지 말아야 한다. 


제2절. 환경의 변화 

보안에서 가장 위험한 적수들중 하나가 변경이다. 다음의 두가지 실례들은 변경의 
영향을 보여 준다. 

1. 미치광이해커 

첫 사건은 1987년부터 시 작되 여 1991년 영 국에서 콤퓨터해커 에 대 한 첫 유죄 판결을 
내리는것으로 끝났다. 해커가 침입한 조작체계는 ICL 의 VME / B 였다. 

VME / B 는 파일서술자에 파일들에 대한 정보를 기억한다. 모든 파일서술자들은 사용 
자 : STD 에게 소유된다. 이것은 일단 파일서술자들이 서로 다른 보안준위들에서 비밀에 
관계될수 있다면 문제를 발생시키게 한다. 그 리유로 : STD 는 비밀에 관계되는 파일서술 
자들에 접근하지 않았다. 따라서 이 서술자들은 정상적 인 여벌만들기기 간에 회복될수 없 
다. 해결책은 명백하였다. 비밀에 관계되는 파일서술자들을 소유한 새 로운 사용 
자 : STD/CLASS 가 만들어 졌다. 다음 이것은 체계가 갱신하는 루린에 포함된다.사용 
자 : STIVCLASS 는 파일서술자들을 소유하는외 에 다른 목적을 가지지 않았다. 따라서 그 
누구도 : STD 八: LASS 로 가입할수 없 으며 또 그럴 필 요도 없 었 다. VME / B 설 계 자들 
은 : STIVCLASS 의 통과암호를 RETURN 건으로 정의함으로써 가입을 불가능하게 하려고 
하였다. RETURN 은 항상 통과암호의 경계기호로 해석되며 통과암호의 부분으로는 되지 
않기 때 문에 누구도 가입할수 없 다. 사용자프로필 에 통과암호를 설정 하는것 은 16진코드를 
덧 붙이 는것 으로 수행 되 였다. 그런데 공교롭게 도 다른 마당이 변경 되 여 가입할수 없는 사 
용자대 신에 인식 할수 없는 보안준위 를 가진 사용자가 출현하였 다. 이 인식할수 없는 보안 
준위는《무제한》으로 해석되므로 설계자들은 자기들의 목적과 반대결과를 엄었다. 

아직도 한개의 방어선이 남아 있다. 사용자 : STIVCLASS 는 오직 주조종탁에서만 
가입할수 있다. 그러 나 일단 주조종탁이 꺼지면 련결을 여는 다음장치가 주조종탁으로 
취급되게 된다. 

이 결함이 VME / B 체 계 그자체 를 관리 하고 있던 해커 에 게 악용되 였다. 이 리하여 해 
커는 체계 에 대 한 상세한 해석과 경험을 위한 충분한 기회를 가지 였다. 해커는 를퓨터쎈 
터 가 일을 보지 않는 밤시간에 전화회선을 통하여 대 학의 를퓨터들에 침 입하여 체계와 
사용자파일들을 수정하거 나 지우고 《Mad Hacker 》 라는 통보문을 남겨 두었다. 후에 
그는 정확히 추적되여 법정에 끌려 가 유죄파결을 받고 감금형을 언도 받았다. 

2. CTSS 

다음이야기를 하기전에 초기의 시 분할조작체계의 하나였던 CTSS 에서 있었던 보안 
결함에 대하여 보자. 

한번은 어떤 사용자가 통과암호파일이 《message of the day 》 로 주어 졌다는것을 
발견 하였다. 
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어떤 일 이 일어 났는가? CTSS 에서는 모든 사용자가 동일한 홈등록부를 가지 였다. 
한 사용자가 편집기를 호출하면 새 파일이 이 등록부에 창조된다. 이 새 파일은 
SCRATCH 라는 고정된 이름을 가지는데 이것은 편집되는 파일이름과는 독립이다. 이것 
은 한 사용자가 한순간에 오직 하나의 응용프로그람밖에 실 행할수 없으므로 사리 에 맞는 
설 계방안이 였 다. 그외 에 는 누구도 다른 사용자의 등록부에 서 작업할수 없 었 다. 그러 므로 
그 편집 기 를 위해서 하나이 상의 새 파일을 제 공할 필요는 없었 다. 여 기 까지 는 그런대 로 
좋았다. 더 나아가서 체계가 자기의 고유한 등록부를 가지는 사용자로 취급되였다. 일부 
단계에서 몇몇 사용자들은 체계관리자들로서 작업 하고 있었다. 동시 에 하나이상의 체계 
관리 자가 작업하는것 을 허 락하는것(체 계등록부에 접 근) 이 편 리한것 갈았다. 이 특징 은 
다음과 같이 실현되였다. 

1. 한 체계관리자가 날자통보문을 편집하기 시작한다. 

SCARTCH:=MESS 

2. 두번째 체계관리자가 통과암호파일을 편집하기 시작한다. 

SCARTCH：=PWD 

3. 첫 번째 관리 자가 편집 된 파일 을 기 억한다. 결 국 
MESS:=SCRATCH=PWD 를 엄는것 으로 된다. 

이 사건렬을 그림 8-1 에 보여 준다. 

Welcome Welcome Welcome 

| Hello! \~ 


Passwords 

|lgP/hEvZ | IlgP/hEvzU |lgP/hEvZ | 

1 .통보문을 편집 2 .통과암호를 편집 3 .통보문을 보관 

그림 8-1. CTSS 에 서 새 파일의 공유 


|feP/hEvZ 


Hello! | 


r»[lgP/hEvZ 


L|igp/hEvZ— 


제 3 절. 경계와 문장론검사 

보안문제들에서 많이 나타나는 오유원천은 인수들의 크기나 문장론을 검사하지 않는 
지령들이다. 상세한 체계지식이 있는 공격자는 입력완충기를 넘쳐 나게 함으로써 보안관 
련자료를 가지고 있는 기억기위치를 덧쓰기할수 있다. 

I. Finger 지령바그 

UNIX 의 Finger 지령은 그리 좋은 보안평판을 받지 못하였다. 여기서 공격자에게 가 
치가 있는 정보에 접근하는 능력에 대해서는 살펴 보지 않고 1988년의 《Internet 
Worm》 에 의하여 Unix 4BSD 를 실행 하는 VAX 체 계 들에 침 입 하는데 악용된 바그에 대 
하여 본다. 
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Fingered 데 몬 (daemon) 은 원격 Finger 요구들에 봉사하는 배 경 프로그람이 다. 이 데 
몬은 입 력의 길 이를 검사하지 않으며 입 력완충기를 위하여 Gets 서고루린을 리용한다. 
완충기넘침은 다른 기억위치들을 덧쓰기한다. 만일 조작체계가 기억기를 어떻게 할당하 
는지 알고 있다면 넘 침 (overflow) 에 의 해 감염되는 기 억기위 치들을 조종할수 있다. 이 
와 같은 공격 은 특수한 536-bit 통보문으로 완충기 를 넘 쳐 나게 하며 체 계탄창을 덧 쓰기 
하여 기본루린의 탄창을 변경시킨다. 이때 탄창에 씌여 진 명령들을 상세하게 보면 다음 
과 같다 [146| 유,’ 

Pushl $68732f 7sh\ 0’ 

Pushl $6e69622f ‘/bin’ 

Mov sp’rlO 
Pushl $0 
Pushl $0 
Pushl rlO 
Pushl $3 
Movl sp，ap 
Chmk $3b 

탄창은 기본루린에로의 귀환에서 TCP 를 통하여 원격쉴에로의 접속을 여는 지령 
execve( “/bluish” ,0,0) 

이 실행되도록 설정되였다. 이 공격은 서고루린 gets 가 완충기의 자리넘침을 막기 위해 
입력렬의 길이를 검사한다면 불가능하게 된다. 겸하여 말하면 gets 가 이러한 문제를 
Unix 루린에서만 일으키는것은 아니다. 

2. VMS 가입 

디지털회 사의 VMS 조작체 계 의 한 판본에 는 가입 절 차에 바그가 있었 다. 사용자이 름 
을 재촉할 때 사용자는 다음지 령을 입 력하여 접근하려는 기 계를 지정할수 있다. 

username/DEVICE = 〈 machine 〉 

이때 인수 machine 의 길이를 검사하지 않는다. 만일 장치이름이 너무 길면 가입에 
의 해서 기동된 처 리의 특권마스크가 장치이름으로 덧써지게 되며 사용자에 게 자기의 특 
권준위를 설정할 능력을 준다. 다시금 결함 있는 쏘프트웨어공학의 실례를 볼수 있다. 
이때 적절한 길이를 검사하도록 하면 보안구멍을 막을수 있다. 

3. 「 login 바그 

Unix 의 login 지령의 형식은 다음과 같다. 


login [ [- p ] [_h<host>] [- f ] <user>] 

여기서 -f 선택은 가입을 《강요》하며 사용자는 통과암호를 넣지 않아도 된다. 
rlogin 지 령은 사용자들이 원격기계들에 가입할수 있게 한다. 이 지 령은 다음과 같은 형 
식을 가진다. 


rlogin [~l<user>] <machine> 
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rlogin 데몬은 이 지령의 첫 인수를 취하고 가입요구를 두번째 인수 machine 에 보 
낸다. Linux 와 AIX 의 일부 판본들은 이름마당의 문장을 검사하지 않는다. 이때 요구 

rlogin -1 -froot machine 은 결과적 으로 
login -froot machine 

으로 될것이다. 즉 지정된 기계에 뿌리로서 강제가입된다. rlogin 데몬에 의한 적절한 문 
장론검사는 이 공격을 막을수 있게 한다. 


4. Java 의 바그 


Java 애 플레 트가 어 떤 클라스를 실 행할것 을 요구할 때 Java 체 계 는 클라스이 름을 그 
안에 있는 점들을 빗선들로 교체함으로써 파일이름으로 변환한다. 즉 클라스 here . it.is 
는 파일 here \ it \ is 에 대 응된다. Java 체 계는 국부디 스크에서 이 파일 이 름을 먼저 탐색 
한다. 이 람색 이 실패 하면 Java 는 애플레트에 의 하여 제공된 Web 봉사기로부터 그 파일 
을 꺼내오려고 시도한다. 열람기를 지원하기 위하여 국부적으로 설치된 클라스들은 모조 
콜라스로서 취급된다. 따라서 Java 는 그러한 클라스를 국부망우에서 검 색된 콜라스와 
혼동하지 말아야 한다. 

공격은 다음과 같이 진행될수 있다. 우선 공격자는 피해자의 국부디스크에 들여 보 
낼 적대코드를 엄어야 한다. 이것은 여러가지 방법으로 엄을수 있다. 명백한 경로는 최 
근에 접근한 Web 폐지들의 완충기 억기 에 열 람기 가 기 억시키는 Web 문서처 럼 적대코드를 
내 려 받는것 이 다(공격자는 어떻게 이 완충기억기가 후에 적대코드로 될수 있게 조직되는 
가를 알고 있어 야 한다). 

두번째 단계 에서는 사용자가 적대 코드를 신용 받는 콜라스로 보고 실행하도록 기만 
하여 야 한다. 

피해 자의 열람기가 클라스 here . it.is 를 집행 할것을 요구하는 애플레트쓰기는 기만 
을 하지 않는다. Java 는 현재등록부에서 파일 here \ it \ is 를 찾을것이다.여기서 그것은 
신용 받는 코드로 취급되지 않는다. 공격자는 뿌리에서 시작하는 등록부경로를 가지는 
파일 이름 례 하면 \ here \ it \ is 로 변환하는 클라스이름을 창조하여 야 한다. Java 는 이 
위험을 알고 있으며 따라서 점으로 시작하는 클라스이름을 허용하지 않는다. \ here \ it 
\ is 로 변환되는 클라스이름 . here . it.is 는 비법적인 클라스이름으로 인식된다. 공교롭게 
도 이 규칙은 빗선으로 시작하는 파일이름들을 잡지 못하므로 클라스 \ here . it.is 는 신 
용 받는 코드로 실행될수 있다. 

이 문제 는 초기 의 Java 판본에 존재하였는데 쉽 게 고쳐 졌 다. 파일 분리 기호들로 시 
작되는 모든 클라스이름들은 금지된다. Java 와 이 바그에 대한 보다 상세한 정보는 [95] 
에서 볼수 있다. 


제4절. 편리한 특징 

바그인가 특징인가. 이것은 콤퓨터보안에서 가장 자주 제기되는 질문들중의 하나이 
다. 유산체계들과 관련한 뒤방향호환성 그리고 설치와 리용의 편리성은 보안을 고려하지 
않을 때 체계에 포함시켜야 할 중요한 특징들이다. 만일 이러한 특징들을 알고 있고 또 
그것들이 필요 없을 때 제거해 버리는 방법을 알고 있다면 아무런 문제도 없을것이다. 
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공교롭게도 항상 이렇게 되는것은 아니며 공격자들은 체계바그보다도 이러한 체계특징들 
을 악용할수 있다. 

Unix 의 sendmail 프로그람이 Internet Worm 의 공격대상으로 되여 이 문제에 대한 
례증으로 널리 알려 지게 되였다 [146]. 우편체계를 설치할 때 체계관리자는 통보문이 목 
적지에 도착하도록 개설할것을 요구한다. 그러므로 만일 망의 어떤 마디에서의 우편구성 
이 체계관리자가 그 마디에 가입함이 없이 원격으로 검사되고 수정될수 있다면 편리할것 
이다. sendmail 프로그람은 이 요구를 만족시키는 오유수정선택항목을 가진다. 이 선택 
항목이 목적지에서 능동으로 설정되면 우편통보문에 있는 사용자이름은 sendmail 프로그 
탐이 이 목적체 계 에서 실행할수 있는 지 령모임 으로 교체할수 있다. 공격 자를 위 한 기회 
는 곧 명백해 졌다. 


제5절. 통제된 호출 

제5장에서 통제된 호출에 대하여 소개하면서 이러한 프로그람에서의 오유가 보안을 
엄중하게 파괴시킬수 있다는것을 강조하였다. 이제 그것을 안받침하는 보다 명백한 립증 
을 주기 로 하자. 

1. VMS 사용자권한부여기능 

디 지 털 (Digital) 사의 VAX/VMS 조작체 계 는 사용자들에 대 한 접 근조종정 보를 권 한부 
여파일에 보관한다. 이 파일에 대한 변경은 UAF 프로그람을 통하여 진행된다. VMS 의 
하나의 판본이 다음과 같은 바그로 인하여 피해를 입었다. UAF 프로그람은 사용자가 
UAF 를 실행할 권한이 있는가를 확인해 야 한다. 

Caller ： Request Set Authorisation File (parameters) 

Systgem : Open Authorisation File ； 

Read Caller’ s Authorisation ； 

If authorized then return (true) 
else return (false) : 

공격 자는 귀환코드를 무시 하고 권한부여 파일에 쓰기를 하는데 이때 이 파일은 체 계 
에 의해 닫겨 지지 않는다. 문제는 대단히 민감한 위치에서 발생하는 단순한 프로그람작 
성 오유이 다. 

2. 가입으로 인한 잠재적인 문제 

가입 창문을 현시하는 Unix 프로그람은 뿌리 권한을 가지 고 동작한다. 사용자가 가입 
할 때 가입프로그람은 현재홈등록부를 그 사용자의 홈등록부로 변경시켜 그 사용자의 환 
경을 설정한다. 그것은 사용자의 . cshrc 와 . login 파일들을 읽고 이 파일들에 포함된 지 
령들을 실행한다. 만일 이 시점에서 가입프로그람이 여전히 뿌리특권을 가지고 동작한다 
면 사용자는 .cshrc 혹은 . login 과 같은 파일들을 트로이목마 (Trojan horses) 로 리용 
할수 있으며 뿌리 에 의 해서 실행될 지 령 들을 삽입할수 있다. 그러므로 가입 처 리의 UID 
를 사용자에 의해서 정의되였을수 있는 그 어떤 지령을 실행하기전에 사용자의 UID 로 
설정 하여 야 한다는것 이 본질 적 이다. 
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제 6 절. 우회 


론리적 접근조종은 론리적체계 객체들에 대 한 사용자들과 처 리들의 접근을 유효하게 한 
다. 만일 공격 자가 론리적접근조종《 아래 에》코드를 삽입 할수 있다면 이 조종을 우회 할 
수 있다. 또는 공격자는 기 억기에 직접 접근하여 론리적접근조종을 우회 할수도 있다. 

1. AS /400 기계대면부본보기 

AS /400 (Application System 400) 은 중규모를퓨터들을 위한 IBM 조작체계이다. 그 
것은 재정 분야에서 널 리 쓰이는 객체지향조작체 계 로서 상당히 안전하다. AS /400 의 보안 
준위 는 QSECURITY 체 계 값을 통해 설정 될수 있 다. QSECURITY 는 10，20，30, 40, 
50의 값들을 취함수 있다. 

• 체 계 보안준위 10: 보안 없음 : 이 것은 AS /400 가 판매될 때 설정하는 기정 값이 다. 

• 체계보안준위 20： 통과암호보안 ; 그러 나 객체보안은 없다. 일단 사용자가 가입에 
성공하면 그다음은 조종이 없다. 

• 체계보안준위 30： 통과암호보안과 객체보안; 앞에서 본 자유접근조종방책들이 객체 
들에 대 한 접근을 막는다. 

• 체계보안준위 40： 기 계대면부본보기리용에 대 한 조종을 첨부한다(아래를 보라). 

• 체계보안준위 50： C 2 규격준수를 지원한다(그러 나 담보하지 않는다). 

기술적론의들과 AS /400 에 대한 기 타 정보들과 조작체 계보안관리에 대한 일반적권고 
들은 [122] 에서 볼수 있다. 

AS /400 에서 기계대면본보기 로 씌 여 진 기 계 어프로그람들은 조작체계의 보안조종을 
받지 않는다. 기 계대 면부본보기는 본래 숙련된 AS /400 프로그람작성 자들이 쏘프트웨어의 
성능을 높이는데 리용되였다. 그러나 이 기술을 보안설정을 변경시킬 목적에서 객체들을 
림 시 정 정 (덧 쓰기 ) 하는데 쓸수 있 다 . 

IBM 은 우선 기 계 대 면 부지 령 들의 위 반을 없 애 고 기 계 대 면 부본보기 에 서 이 러 한 지 령 
들을 검출하는 문장론검사기를 리용하여 이러한 변경을 금지시키려고 하였다. 이 문장론 
검 사기 는 합법 적 인 지 령 들의 표를 참조하였 다. 일 단 쏘프트웨 어작성 자들이 그 검 사가 어 
떻게 수행되는가를 알아 내면 그들은 그 IBM 표를 모든 지 령들을 포함하는 표로 쉽게 바 
꾸어 버 릴수 있 다. 조작체 계 의 완정 성 을 보호하기 위한 다음 단계 로서 AS /400 은 사용자 
상태와 체 계상태를 분리 하고 사용자령역과 체계령역을 분리하였다. 사용자령역에 상주하 
는 체 계상태프로그람들은 사용자에 게 자료기지관리체계와 같은 보호된 쏘프트웨어 에 대 
한 접근을 준다. 보안준위 40에 추가된 이러한 보안기구들은 기계대면부본보기를 허락하 
는 보안준위 30과는 반대로 동작한다. 그런데도 불구하고 실지는 준위 30이 유산 
( legacy ) 쏘프트웨 어를 여전히 동작하도록 허락하는 표준구성이다 [122]. 

2. at 바그 

Unix 지령인 at < time >- f < file > 은 사용자들이 후에 지령을 실행할수 있게 한다.그것 
은 요 구 된 파 일 이 지 정 된 시 간 에 실 행 되 도 록 실 패 형 ( spool ) 등 록 부 인 
/ user / spool/atjobs 에 넣는다. at 프로그람은 그 파일을 실패형등록부에 넣을 때 그것 
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을 사용자가 읽을수 있는가를 검사하지 않는다. 그러나 실패형등록부에 있는 파일은 at 
를 실행한 사용자에 의해 읽어 질수 있다. 이 방법을 씨서 공격자는 의심스러운 기록통 
보가 발생되지 않도륵 하기 위하여 그것이 실행되기전에 


at<time>-f /etc/shadow 

를 입력하고 실패형등록부에서 그 일감을 지워 버림으로써 그림자통과암호파일에로의 접 
근을 엄을수 있다. 이러한 공격은 / user / spool / atjobs 를 읽기불가능으로 선언하면 예방 
할수 있다. 

3. 사이드와인더 

사이 드와인더 (sidewinder™) 는 Unix 체 계 의 제 일 웃부분에 구축된 방화벽 (firewall) 
제품이다. 사이드와인더는 인터네트에서 방화벽을 통과하여 그뒤에 있는 체계에 침입하 
는 해커들에 도전하는 방법으로 시험되였다. 이 《시험》등록자리와 사이드와인더에 대 
한 그밖의 정보는 CIPHER[153] 에서 출판되였다. 

田 nix 체계들에서 뿌리는 거의 모든것을 할수 있는 특권을 가진다. 만일 해커가 뿌리 
로서의 접근권한을 얻을수 있다면 모든 방어수단을 돌파할수 있다. 보안돌파의 영향을 
막기 위해 사이드와인더는 체계객체들과 사용자처리들을 서로 다른 령역들에 배치한다. 
령 역들사이의 분리 는 형 (type) 을 리 용하여 실현한다. 

매개 령역에는 파일형들과 조작체계호출들의 제한된 모임에로의 접근만이 주어 진다. 
매개 령역 이 자기의 관리자를 가지므로 특권사용자는 있을수 없다. 공격자가 방화벽체 계 
를 수정할 기회는 두개의 서로 다른 조작체계핵을 사용함으로써 보다 더 제한된다. 사이 
드와인더가 자기의 Unix 핵심부에서 동작할 때 형강요 (enforcement) 가 가능하다. 사이 
드와인더가 관리자적 인 핵심부와 함께 기동되면 망접속은 금지된다. 

다만 하나의 심중한 해커공격만이 관찰되였다. 해커는 SUID 뿌리 2 진코드를 창조 
하는 부적당한 우편프로그람을 속여 넘김으로써 루트접근을 엄 었다. 뿌리와 같이 작업함 
에도 불구하고 그 이후의 해커의 작용은 체계에 의해 검출되였고 를퓨터와 사용자와의 
대화시간은 결국 끝나버렸다. 해커는 처음때와 같은 구멍을 통하여 빠져 나갔고 그때 현 
존하는 디스크 장치를 가리키는 새 로운 장치를 창조하도록 mknod 지 령을 사용하였다. 이 
새로운 장치의 소유자로서 해커는 그 장치에 대한 읽기 및 쓰기특권을 가지며 Unix 나 
형강요방책 에 개의 치 않고 그 디스크 우에 있는 그 어떤 파일에도 읽기쓰기할수 있었다. 

공격은 그이상 더 전진하지 못했다. 다음단계는 다치지 않은 기억내용으로부터 론리 
파일구조를 재구성 하는 도구들을 요구한다. 공격 자는 이때 형강요조종기 능을 마비시키기 
위해 어느 파일을 변경해야 하는가를 알고 있어야 한다. 이 공격은 해커가 미칠수 있는 
곳에 서 mknod 를 제 거 함으로써 (즉 mknod 체 계 호출을 금지 된 목록에 배 치 함으로써 ) 보 
호되였다. 

4. 지능카드에 대한 공격 

지능카드란 집적회로 (ic) 를 내장한 수지카드이다. 지능카드는 류동하는 사용자들이 
행표를 주고 받는 거래를 하는 응용에서 편리하다. 대표적실례를 들면 

(D 자동출납기계로부터의 현금찾기 

邊) 이동통신: 여기서 사용자들은 자기의 호출에 대해 지불한다. 

③ 공공운수: 여기서 사용자들은 자기들의 려행비를 지불한다. 
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우의 세가지 실례들에서는 사용자권한부여가 필수적이다. 민감한 자료들을 기억하고 
있 으면서 암호화알고리 듬을 수행 하는 지 능카드는 그 소유자가 장치 우에 서 물리 적 조종을 
전혀 하지 않으므로 매우 쓸모 있다. 

해커는 물리적접근을 엄을수도 있다. 지능카드에 물리적으로 접근할수 있는 사람은 
누구나 론리적입력/출력통로들을 리용하지 않고도 다른 방법으로 그것을 취급하고 조종 
할수 있다 [3]. 그러므로 지능카드의 보안해석에서는 공격자가 다음과 같은 문제들을 어 
떻 게 하겠는가를 고려하여 야 한다. 

• 1 C 의 전원소비를 어떻게 관찰하고 조작할수 있는가? 

• 박자신호를 어떻게 조작할수 있는가? 

• 계산시간을 어떻게 관찰할수 있는가? 

• 1 C 상에서 신호들과 물리적구조들을 어 떻게 관찰하고 처 리 할수 있는가? 

공격자는 전원소비나 계산시간을 감시하여 지능카드상에 보관된 비밀열쇠를 추측하 
는데서 도움을 받을수 있다. 이 러한 공격들은 아주《값 눅은》것들이 다.그것은 RAS 지 
능카드처 리 기 들에 대 한 시 간선도공격 에 의해 잘 알려 진것 처 럼 실 행 가능하다 ([4 기 을 보 
라). 방어 로서는 열쇠 의존상태들이 암호화알고리 듬의 실행 에 반영 되지 않는다는것 을 확 
신하는 프로그람작성양식 을 리 용한다. 

1 C 의 전원공급이나 박자에서의 우연적이거나 계획적인 변화들은 프로그람작성자에 
의한 카드상의 처 리 기를 미 리 예견하지 못한 상태 로 만들수 있다. 공격 자는 일 련의 흥미 
있는 자료(열쇠 와 갈은)가 착오에 의해 출력 되 기 를 바랄수 있 다. 이 것 역 시 대 단히 값 
눅은 공격 이 다. 명백한 방어수단은 전원공급이 나 박자에 대해서 허용가능한 범위내 에 그 
신호들의 변화를 유지하는 려과기들이다. 1 C 는 자동적으로 재설정되거나 또는 단순히 
카드를 리 용하는 응용프로그람에 알리 는 기 발을 설정하는것 으로써 반작용할수 있 다. 1 C 
제작자들은 장치들에 대하여 담보할수 있도록 이 문계들을 필요한만큼 강조할것 이 다. 

방금 언급된 류형의 조작에 의해 발생되거나 다른 수단들 례하면 방사 ( radiation ) 에 
의해서 발생된 이행고장들은 암호화함수를 틀린 값으로 돌려 줄수 있게 한다. 미분장애 
해석에 관한 최근연구들은 동일한 입력에 대한 정확한 결과와 틀린 실행결과들로부터 비 
밀열쇠를 계산하는것이 가능하다는것을 보여 준다. 이것 역시 결과가 발표되기전에 1 C 
상에 추가적인 검사를 포함시켜 공격을 어렵게 할수 있는 값 눅은 공격수법이다. 보다 
값 비싼 수법들은 1 C 를 조작하는데 레이 자를 쓰거 나 혹은 계산과정과 기 억된 값들을 관 
찰하거나 1 C 상에 실현된 비밀알고리듬을 역설계하는데 전자현미경을 리용할수 있다. 이 
러한 공격들을 완전히 막을수 있다고 생각하는것은 잘못된것이다. 그러나 설계와 제작공 
정에서는 이러한 공격들이 너무도 비용이 많이 들어 《상업적으로》수지가 맞지 않도록 
할수 있다. 


제7절. 결함이 있는 규약의 실현 

보안규약들의 추상적 인 서술들은 우연수취하기와 갈은 해롭지 않는 문장들로 가득차 
있다. 그뒤에 숨겨 진 복잡성들은 일단 규약을 실행하려 할 때에만 나타난다. 설계자들 
은 설계를 쉽게 하기 위해 보안상 결함이 있다는것을 알면서도 그 방안을 택한다. 때로 
는 설계자들이 그 문제를 즉석에서 발견해 내지 못할수도 있다. 
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1. TCP 권한부여 

첫 번째 실례 는 TCP 열기 순차에 서 리 용하는 세 가닥응답확인규약 ahree-way 
handshake ) 이 다. 보안해 석 에서는 항상 통보문들이 목적 한 수신자들에 게 전달되며 통 
로에서는 관찰될수 없다고 가정한다. 공격 자가 취 할수 있는 유일한 작용은 자기의 통보 
문에 가짜송신자주소를 포함시키는것이다. 봉사기 B 와의 대화를 열기 위해 의뢰기 A 는 
다음과 같은 통보문을 보낸다. 

A — B : SYN ， ISSa . 

이 파케 트는 SYN(Sychronize Sequence Number ) 비 트묶음을 가지 며 32 bit 의 초 
기계렬번호 ISSb 를 포함한다. 

묘는 자기의 초기순서렬번호 ISSB 와 알려 진 A 의 순서렬번호를 보내면서 
B — A : SYN ， ISSb , ACK ( ISSa ) 

로 응답한다. 실제의 수값 ISSa 는 이 통보문에 나타나야 한다. 

의뢰기 A 는 

A — B : ACK ( ISSb ) 

를 보내여 응답확인을 결속한다. 이 통신규약은 긴 초기순서렬번호들이 합리적으로 우연 
값이 여야 안전한다. 따라서 RFC 793 은 32- bit 계수기 가 4/내에 한번씩 낮은 자리위 치 에서 
1씩 증가된다고 기 술하고있 다. 그러 나 버클리 ( Berkeley ) 유도핵 심 부들은 매 초 128씩 증 
가하며 매 접속때마다 64씩 증가한다. 여기 에는 공격 자를 혼돈시키 기 위한 우연성 이 그 
다지 많지 않다. 

이러한 방법이 일찌기 1985년 로버트모리스 (Robert Morris ) 에 의해서 서술되였고 
[105] 후에 스리브 벨로빈 (Steve Bellovin )[14] 에 의 하여 일반화됨으로써 공격 이 가능 
하게 되였다. 공격자 C 는 먼저 목표 B 에 대한 실제의 접속을 진행하고 순서렬번호 
ISSb 를 수신한다. 공격 자는 다음 A 를 흉내내 여 송신자마당에 A 의 주소를 가진 파케 트 
를 송신한다. 

C ( A ) — B : SYN，ISSc 
묘는 이 에 대 하여 진짜 A 에로 
B — A : SYN , ISSb ’, ACK ( ISSc ) 

로써 응답한다. C 는 이 통보문을 볼수는 없으나 ISSb ’의 값을 추측하고 
C ( A )^ B ： ACK ( ISSb , ) 

를 송신한다. 만일 추측이 옳다면 사실은 C 가 파케트를 보내고 있는데 B 는 이것이 A 
와의 접속으로 생각한다. C 는 이 대화로부터의 출력를 볼수 없으나 봉사기 B 우에서 A 
의 특권을 가지 고 지 령 들을 실 행할수 있 다. 

그러면 B 는 의뢰기 A 로부터 오는 사용자의 신원과 특권을 어떻게 확인하는가? 만일 
사용자가 통과암호를 제공하면서 가입해야 한다면 공격자는 전진할수 없다. 그러나 만일 
봉사기가 기계를 신용 받는 호스트로 보고 들어 오는 통보문들에 대한 더이상의 확인을 
하지 않으면 공격은 성공할수 있다. Unix 에서 신용받는 호스트들은 .rhosts 파일로 선 
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언된다. rsh 와 갈은 규약들은 사용자들이 이미 권한부여된 신용 받는 호스트로부터 오 
는것으로 가정하는 주소기초권한부여방식을 리용한다. 공격자는 신용 받는 호스트의 IP 
주소를 리용하기 위해 이와 갈은 규약을 추적 할것 이 다. 

수수께끼의 마지막부분은 의뢰기 A 이다. 만일 A 가 묘의 통보문을 받으면 A 가 보내 
지 않은 그 무엇에 대하여 B 가 응답하고 있다는것을 알게 될것 이며 그 접속을 끊어 버 
리 기 위해 RST 파케 트로 응답할것 이 다. 공격 에 간섭하는 A 를 견지 하기 위해 C 는 A 가 
일련의 리유로 정지되기를 기다리거나 A 의 완충기를 동기화요구들로 가득 채워 B 로부터 
오는 통보문들이 무시되도록 하는 TCP SYN 밀물공격을 리용할수 있다. 

이 공격 을 막기 위해 국부송신자주소밖에 서 오는 모든 TCP 파케 트들을 막는 방화 
벽 을 리용할수 있 다. 이 기 구는 모든 신용 받는 호스트들이 국부망내 에 있 다면 정 확히 
동작한다. 그러나 신용 받는 호스트들이 밖에도 존재한다면 방화벽은 TCP 와 주소기초 
권한부여방식 으로 방화벽을 리용하는 모든 규약들을 막아야 한다. 지 어는 주소기초권한 
부여 자체 를 포기할수 있 다. 그것 은 더 큰 재 난이 일 어 나기 를 기 다리 는것 이 다. 암호화적 
인 권한부여방식 이 훨씬 바람직하다. 


2. Java DNS 바그 

Java 의 보안방책은 애플레트들의 작용의 범위를 제한한다. 애플레트는 그가 실행 
되는 기계우에서 제한된 범위에만 도달할수 있으며 그가 도달할수 있는 다른기계에서도 
역시 제 한된다. 두번째 제 한은 다음규칙 에 의 해 피복된다 [95] . 

애플레트는 그가 온 봉사기에로 되돌아 가는것을 제외하고는 망접속을 열수 없다. 

Java 는 두개의 인터네트봉사기 가 같은것 인가 아닌가를 어떻 게 알아 내는가? 그것 
은 인 터 네 트이 름들을 IP 주소로 변환하는데 령 역 이 름체 계 ( DNS ) 를 리 용한다. 애 플레 트 
가 접속을 열 때 Java 체계는 

• Web 봉사기의 이름을 IP 주소들의 목록으로 변환한다. 

• 애플레트가 접속하려고 하는 기계의 이름을 IP 주소들의 목록으로 변환한다. 

• 두개의 목록들에 공통인 항목이 있으면 접속을 허락한다. 


이 전략에 는 문제 점 이 있 다. 매 개 인터 네 트령역 의 소유자는 자기 의 령 역안에 있는 
인터네트이름들을 IP 주소로 변환하는것을 담당하고 있다. 악의를 품은 소유자가 자기의 
변환목록에 다른 령역 으로부터 의 IP 주소들을 포함시키 는것 은 막을수 없 다. 령 역 
attacker.org 에 적의를 품은 공격자는 비난이 그 어떤 다른 사람에게 떨어 지도록 공 
격을 개시할수 있다. 

실례로 이러한 공격을 례증하기 위해 목적지의 IP 주소를 88.8.8.8 로 하고 
attacker.org 령역에 있는 Web 봉사기는 IP 주소 13.13.13. 3를 가진다고 하자. 공격자는 
자기의 령 역 안에 있는 DNS 이 름 call . attacker.org 에 거꾸로 련결을 요구하는 적의를 
품은 애플레트를 포함하는 Web 폐지를 창조한다. 다음 공격 자는 아래와 갈은 사건들이 
일어 나기를 기 다린다(그림 8-2). 


1. 깨 끗한 3부류가 공격 자의 Web 폐 지 를 보고 그 Web 봉사기 ( IP 주소 13.13.13.3) 
로부터 적의를 품은 애플레트를 내 려받기 한다. 

애플레트가 call , attacker . org 에로의 접속을 요구할 때 공격자의 DNS 봉사기는 
DNS 이름 call . attacker . org 의 변환을 요구한다. 
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3. 공격 자는 목록 (88.8.8. 8, 13.13.13.3) 례 하면 피 해 자의 IP 주소와 공격 자의 Web 
봉사기의 IP 주소를 돌려 준다. 

4. 애플레트로부터 온 Web 봉사기의 IP 주소가 그 목록에 있기때문에 Java 는 애플 
레 트가 그 목록의 첫 번째 IP 주소 례하면 피 해 자의 주소 88.8.8. 8 에 로의 접 속을 
여는것을 허 락한다. 

피해자의 위치에서 볼 때 애플레트의 그 어떤 적의를 품은 작용은 깨끗한 3 부류에 
귀착될것이다. 이 문제는 검사루린을 변경함으로써 고정된다. 이제는 열람기들이 Web 
봉사기의 IP 주소를 기 억하고 그 주소에 로의 접속들만 허 락한다. 



그림 8-2. Jave DNS 바그 


제8절. 비루스공격 

콤퓨터비루스들은 콤퓨터보안에서 가장 중시해야 할 령역들중의 하나로서 사회적인 
관심속에 놓여 왔다. 비루스들은 신문기사들과 영화，텔레비존방송프로들에 소개되고 있 
다. 경험이 없는 사용자들에게는 비루스들이 콤퓨터보안에 맞서는 가장 위력한 강적일수 
도 있다. 그러나 전문가들은 콤퓨터비루스들이 실제적인 피해를 주기는 하지만 지금 떠 
드는것처 럼 과장된 주목을 받을만한 가치는 없으며 훨씬 더 넓은 보안문제의 특정 한 한 
측면일뿐이라고 보고 있다. 

여기서는《개인용콤퓨터 (pc) 들과 보안》이라는 화제를 간단히 그리고 일반적으로 
보기로 한다. PC 들이 처음 시장에 나타났을 때 MS-DOS 와 같은 PC 조작체계들은 단일 
사용자용이였고 한 사용자가 기계전체를 조종하였다. 거기에는 

• 사용자들을 구분하기 위한 아무런 보안기 구도 없 었 다. 

• 《체계》와《사용자》를 구분하는 아무런 보안기구도 없었다. 

• 체계 나 사용자파일들의 고의적 인 갱 신을 막기 위한 아무런 보안기구도 없었다. 

개 별사용자용이 라는것 을 고려하면 이 기구들은 요구되지 않으므로 불필요한 특징들 
을 생 략했다고 하여 설계자들을 나무람하지 말아야 한다. 어쨌든 PC 의 보급은 새로운 
산업을 낳게 하였다. 그것들을 보면 다음과 같다. 

• 표계 산프로그람 (spreadsheet) 이 나 문서 처 리 기 (word processor) 와 같은 상업 적 쏘 
프트웨 어 제 품들 
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• 콤퓨터유희들 

• PC 들의 공동리용 즉 갈은 기 계를 몇명의 종업 원이 함께 리용하거 나 PC 들을 LAN 
에 접속한 단체들 

이러한 새로운 세계에서 쏘프트웨어는 유연성자기원판에서 교체되게 되였고 직업적 
쏘프트웨어 와 개 인적 쏘프트웨어 가 같은 PC 상에 서 동작하였 으며 회 사들의 재 산(정 보)은 
PC 들에로 옮겨 져 더이상 중앙 IT 부문에 의해 조종되지 않고 개별적사용자들에 의해 조 
종되게 되였다. 점차 위협적인 각본들이 달라 져 갔고 보안기구의 부족이 스스로 느껴 
지 기(보안의 식 이 싹트기 ) 시 작하였 다. 

1. 비루스분류 

비루스연구자들은 콤퓨터비루스들을 평 가하고 이름 짓 고 분류하는 체계를 개 발하는 
것과 콤퓨터 비 루스들을 다른 형 태의 악의 있는 쏘프트웨어와 구별하기 위한 특징 들을 정 
의하는데 많은 노력을 기울였다. CAR ◦규정은 콤퓨터비루스들을 이 름 짓고 평 가하는데 
널 리 리 용되 고 있다. 여 기서 는 문제 를 간단히 하기 위하여 다음과 같이 분류한다. 

• 트로이목마 (Trojan horse) : 이것은 프로그람문서 에 서술되지 않은 또 그 프로그람 
을 실 행 하는 사용자가 의 도하지 않은 은폐 된 부작용을 가지 는 프로그람이다. 

• 자체복사비루스: 이것은 어떤 코드에 유효부하를 가지고 덧붙여 진 자체복사코드토 
막이다. 유효부하는 어 떤 통보문을 표시하거 나 소리 를 내 는것 과 갈은 해 를 주지 않 
는것으로부터 파일을 지우거나 변경시키는것과 같은 유해로운것에 이르기까지의 범 
위에 놓일수 있다. 

• 콤퓨터비루스: 이것은 자기자체를 어떤 프로그람코드에 삽입하여 그 프로그람을 감 
염시킨다. 

• 과도비루스: 감염된 프로그람이 실행될 때에만 작용한다. 

• 상주비루스: 이 비루스에 감염된 프로그람이 실행될 때 기 억기 에 자기를 설치한다. 
상주 (terminate-stay-resident(TSR)) 비루스는 지어 감염된 프로그람의 실행이 끝 
나도 기억기에 그냥 남아 있으면서 다른 프로그람의 실행에로 스스로 이행하여 능동 
상태로 될수 있다. 

• 론리폭탄: 특정 한 격동조건이 만족될 때 에만 실행되는 프로그람이다. 

• 월 (Worm): 감염시키지는 않고 복제하는 프로그람이다. 

비루스들에 대 한 다음의 분류에서는 공격 받기 쉬운 약점들의 일반적본성을 강조한 
다. 대부분의 성공적 인 공격들은 여 러가지 수법들을 결합한것 이 라는데 대해 간단히 언급 
한다. 

2. PC 기동순서 

콤퓨터비루스들은 권한 없는 변경에 대한 보호기능이 없는 조작체계들에 있는 공격 
받기 쉬 운 점을 리용한다. 공격 받기 쉬운 범위를 리해 하기 위하여 간단히 IBM PC 의 
기동순서를 돌이켜 보자. 여기서는 이 공정의 일반적구조에만 흥미를 가지며 ROM 이나 
유연성 자기원판에서의 분구크기 나 기 억기주소 갈은 기 술적세부는 무시 하기 로 한다. 

기계를 《시동》시키는것 즉 그의 정상작업방식으로 들어 가게 하기 위해 취해야 
할 걸음들을 PC 초기기동이라고 한다. 초기 에 기 억기는 ROM 이 없으면 비 여 있다. 즉 
일단 전원을 끄면 모든 다른 기억기들은 기억내용을 잃어 버린다. PC 를 깨끗한 상태로 
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만들려고 재기동할 때 사실은 물리적효과로 인하여 기억내용들이 즉시에 잃어 지지는 
않는다. 그러므로 전원을 끈후 재기동하기전에 약 30초정도 기다려야 한다 [49]. 

조작체계를 기억할 위치만은 ROM 과 유연성자기원판이나 하드디스크와 같은 일련의 
2차불휘 발성 기 억 기 이 다. ROM 은 전체 조작체 계 를 포함하기에 는 너 무 작으므로 IBM PC 
에 서 는 초기 적 재 (조작체 계 의 넣 기 )를 위 한 정 보가 그림 8-3 에 서 보여 준것 처 럼 계 층적 방 
식으로 되여 있다. 



I IQ. SYS I 
| MSDOS.SYS | 
| AUTOEXE. BA | 


그림 8-3. 전형 적 인 초기기 동순차 

• ROM ： 2차기억 기 에 있는 기 본초기 기 동분구를 지 적하는 초기 화루린을 포함한다. 

• 기본초기기동분구: 유연성자기원판우의 0번 분구，1번 자리길，0번 면과 같은 표준 
위 치로서 일부 실행 가능한 코드들과 디스크를 구획들로 나누고 초기기동가능한 구획 
을 가리키는 분구표를 포함하고 있다. 기동가능한 구획 f 은 기동순서 에 따라 순차적 
으로 람색된다. 기본초기 기동분구는 2차기 억기상에 있는 DOS 초기 기동분구도 지적 
한다. 

• DOS 초기기동분구: 실행 가능한 코드와 파일배 치표 ( FAT ) 를 포함한다. FAT 는 기 억 
기에서 파일들이 어디에 보관되는가를 기록한다. 거기에 매개 파일에 대한 콜라스터 
(기록들의 그룹)들의 련결목록이 있다. 물리적으로 파괴된 콜라스터들은 FAT 에 
《 bad 》 로 표식된다. 

• BIOS (기 본입 력 /출력체 계 ) 를 포함하는 IOSYS (또는 IBMBIO . COM ) 프로그람과 
SYSINIT 프로그람을 적 재한다. 

• 조종이 DOS (디스크조작체계)에 로 넘 어 가며 DOS 는 AUTOEXEC . BAT 파일을 찾 
아 보고 지 령 해석 기 (보통 COMMAND . COM ) 를 실행 한다. COMMAND.COM 은 
사용자의 입력을 재촉한다. 

이제는 PC 가 사용자들의 입력을 접수하고 응용프로그람들을 실행할수 있게 준비되 
였 다. 

3. 초기적재프로그람비루스 

공격의 첫번째 대상은 조작체계 그자체 이 다. 앞에서 본것처럼 pc 들에서는 조작체계 
의 매 우 작은 부분만이 ROM 에 보관되며 이것은 자동적 인 완정성보호를 가진다. 나머지 
부분은 감염된 기억매체로부터 읽어 질수 있으며 그것은 이미 앞으로의 공격을 허락하도 
록 변경되였을수 있다. 

PC 의 초기기 동순서 에 는 악의 를 가진 코드를 삽입할수 있 는 충분한 몇 가지 가능성 이 
있 다. 초기 적 재 프로그람비 루스는 초기 기 동분구들중의 어 느 하나에 상주한다 (그림 8-4). 
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그것은 DOS 가 완전한 동작상태로 되기전에 작용을 일으키므로 BIOS 기능만을 리용할수 
있 고 특정한 기 계 구성 방식 에 맞게 씌 여 진다. 그것 이 각이한 기 계 들에 서 다 예 견대 로 동 
작하지는 못하지만 대체로 기계를 파손시킬것이다. 

스토운드 (stoned) 비 루스(뉴질 랜 드비 루스타고도 한다. ) 는 기 본초기기 동분구를 특정한 
디 스크위 치 에 복사하고 DOS 가 기 본초기기 동분구로 알고 있 는 령 역 에 비 루스코드를 삽 
입한다. PC 가 초기기동할 때 비루스는 정상적인 봉사가 개시되기전에 먼저 실행된다. 
브레 인 (brain) 비 루스는 DOS 초기 기 동분구에 이 수법 을 적 용한다. 그것 은 본래 의 DOS 초 
기기동분구를 기억시킬수 있는 빈 콜라스터를 찾아 보고 DOS 초기기동분구가 있던 본 
래 위 치 에 비 루스코드와 재 배 치된 초기기동분구에 로의 지 시 자를 배 치한다. 앞에서 와 같이 
PC 가 초기기 동할 때 비 루스는 정 상봉사가 시 작되 기전에 실 행 된다. 비 루스는 FAT 에서 
자기 가 리용하는 분구들에 〈〈bad》 표식 을 함으로써 자기 의 존재 를 숨길수도 있다. 

비 루스는 초기기 동공정 의 뒤단계 들에도 역 시 자기 를 삽입할수 있다. 실제 로 
IOSYS(Pacman 비루스), COMMAND.COM(Lehigh 비루스)， AUTOEXEC.BAT 에 대 한 
《개념의 증명》 (proof of concept) 이라는 비루스들이 존재 한다. 


기본초기기동분구 


초기 기 동분구 


초기 기 동분구 



비 루스코드 기 본초기기 동분구 초기기 동분구 초기기 동분구 


감염 전 


감염 후 


그림 8-4. 초기 기 동분구비 루스의 감염 모형 


초기기 동분구비 루스들은 흔히 볼수 있지 만 그다음의 비 루스들은 보기 힘 든것 들이 다. 
초기적재 (bootstrap) 비루스는 감염된 기억매체 (유연원판)에 있는 체계에 들어 간다. 초기 
적재비 루스를 피 하는 효과적 인 방도는 깨 끗한 디 스크로부터 초기기동하는것 이 다. 그러 나 
초기기동분구의 일부분이 정적 RAM 에 보관되여 있으면 초기적재비루스는 거기에 상주할 
수 있으며 깨끗한 디스크로부터의 기동도 더는 성공을 담보할수 없게 된다. 


4. 기생비루스 

공격의 두번째 대상은 사용자프로그람들이 다. 기생 비루스는 .com 이 나 .exe 파일 같 
은 실행가능한 프로그람에 붙어서 다른 프로그람들을 감염시킨다. 기생비루스는 대표적 
으로 감염된 프로그람에 자기를 덧붙이고 프로그람의 앞머 리에 비루스코드에로의 이행명 
령 을 삽입 한다. 비 루스의 끝에 는 그 프로그람의 시 작부에 로의 귀 환명 령 이 있 다(그림 8- 
5). 비에나 (Vienna) 비루스는 감염되는 .com 파일들을 이 방식으로 변경시킨다. 그것은 감 
염된 프로그람의 초기 세바이트를 대 피시키고 거기 에 그 프로그람에 첨 가된 비루스코드 
의 시작점에로의 이행명령을 배치한다. 프로그람이 실행되면 첫번째 작용은 비루스코드 
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에로의 이행이므로 비루스코드가 실행되며 다음 대피되였던 본래프로그람의 초기의 세바 
이트가 복귀되고 실행은 그 프로그람의 시작에로 되돌아 간다. 


__1 
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그림 8-5. 기생비루스의 전형적 인 감염모형 

보다 정교하게 만든 비루스들은보다 작은 조각들로 흘어져 감염된 프로그람의 중간 
에 숨겨 진다. 감염된 프로그람이 실행될 때 비루스가 먼저 실행되고 다음에 그 프로그 
탐이 실행되 여 비 루스의 효과과 반드시 즉석 에서 관찰되 지 않도록 한다. 완정성조종이 
없는 조작체계에서는 기생비루스가 침습할수 있는 프로그람에 대한 제한이 없다. 보다 
강한 조종에 의해 비 루스침습을 감염된 프로그람을 실 행하는 사용자에 게 소속된 파일들 
로 제한하거나 지어는 프로그람들의 보다 작은 부분모임들로 제한할수 있다. 

5. 동반비루스 

DOS 에서 파일이름들은 《이름 . 확장자》 의 형식을 가진다. 대표적인 확장자들로 
는 .DIR, .COM, EXE 등이 있다. 추가된 편의기 능을 리용하면 사용자들은 실행하려는 
프로그람의 완전한 이름을 서술하지 않아도 되며 확장자를 생 략할수도 있다. 만일 사용 
자가 이 수법으로 프로그람을 호출하면 DOS 는 먼저 이 이름을 가진 .COM 파일을 찾고 
다음에 .EXE 파일을 찾으며 다음에 .BAT 파일을 찾는다. 동반 비루 스는 이 기정탐색경 
로를 리용한다. 

만일 본래프로그람이 .EXE 파일 이라면 같은 이 름을 가지 면서 비 루스를 포함하 
는 .COM 파일 이 만들어 지 고 감염된 프로그람이 실행되게 된다. 이 기 술을 AIDS 2 비 루 
스가 리용하였 다. 

그러 므로 기 정 람색 경 토들은 편 리 하지 만 위 험 하다. 갈은 류형 의 공격 이 Unix 에 서 도 
가능한데 PATH 환경변수를 따라서 처음으로 람색되는 등록부에 감염시키려는 목표와 
갈은 이름을 가지는 감염된 파일을 배 치 함으로써 실현한다. 

6. 마크로비루스 

초기기동공정에 삽입되는 비루스는 기계어로 씌여 지며 모든 초기적재프로그람비루 
스들은 이 준위에서 작용한다. 그러나 이것은 모든 비루스가 기계어로 씌여 져야 한다는 
것 을 의 미 하지 는 않는다. 일찌 기 1989년에 하롤드 하일 랜드 (Harold Highland ) 는 표계 산프 
로그람 (spreadsheet worksheet ) 의 자료파일 에 자체 로 부착하는 마크로비 루스의 가능성 을 언 
급하였다 [67] . 마크로비루스들은 특별히 흥미를 끌면서 손해를 끼친다. 

• 비루스는 자료파일에 붙는다. 그러므로 그것은 실행 가능한것 즉 조작체계 나 프로그 

탐들을 대 상으로 하는 완정 성 보호기 구들을 우회하게 된 다. 


137 





• 비루스는 고급언어로 씌여 진다. 그러므로 기계어비루스들보다 훨씬 기계의존성이 
적다. 

• 본문문서들은 전자우편에 의해 널리 교환된다. 이것은 비루스가 확산하는데 매우 
좋은 매체로 된다. 

마크로비 루스들은 1995년에 처음으로 출현하였다. 마이 크로소프트의 문서처 리체계 인 
MS - Word 는 사용자들이 자기 의 문서 들이 현시되 는 환경 을 맞춤하게 설정할수 있게 한다. 
형식정보나 기능건들과 아이콘들에 대한 정의는 모두 본문문서와 함께 오는 마크로파일 
안에 포함된다. 이 본문문서를 열면 마크로안에 있는 명 령들이 MS-Word 에 의해서 실 
행된 다. 새로운 문서가 만들어 질 때 NORMAL.DOT 파일 이 그의 형 판 ( template ) 으로 리 
용된 다. 

마크로를 단순히 자료파일에 붙는 부착물처럼 생각할수 있으나 실제로는 실행가능한 
코드의 한부분이 다. 그러나 파일을 여는 사용자들은 자기가 프로그람을 실행하고 있다고 
는 생 각지 도 못할수 있 다. 마크로들을 작성할수 있는 모든 명 령 들이 마크로파일 에 비 루 
스코드를 넣 으려 하는 비 루스작성 자들에 게 리 용될 수 있 다. Concept macro-virus 가 바로 
그렇 게 한다. 그것 은 .DOC 와 .DOT 파일들을 감염시 킨다. 일 단 NORMAL.DOT 가 감 
염되면 새로 만들어 지는 모든 .DOC 파일은 자동적으로 감염되게 된다. 

A 유연성과 완정성사이에는 이률배반관계가 존재한다. 만일 조작체계전체를 
ᆻ ROM 에 넣는다면 권한이 없는 수정은 불가능하게 되나 반면에 권한을 가진 
갱신이나 림시수정 등도 불가능하게 된다. 

프로그람파일과 자료파일을 엄격히 구분하는것은 프로그람들이 변하지 않는 환경에 
서 완정성을 유지하기 위한 좋은 기초이다. 문서처리기는 이러한 프로그람의 좋은 실례 
이다. 

• 자료파일들은 변경할수는 있으나 실 행 가능한 코드를 포함할수는 없다. 그래 서 그것 
들은 체 계를 파괴할수 없다. 

• 프로그람파일들은 실행 가능한 코드를 포함하며 변경할 필요는 없다. 따라서 모든 프 
로그람들에 대해서 완정성검사값들을 계산하여 ROM 에 기억시켜 두고 어떤 프로그 
탐을 실행하기전에 검사할수 있다. 

마크로들은 사용자들에게 보다 유연한 문서처리체계를 제공하기 위해 도입되였다. 
그러나 마크로들은 자료와 프로그람사이의 구별을 모호하게 하므로 새로운 보안문제를 
초래 한다. 

ᅀ 체계에서의 변화는 새로운 공격 받기 쉬운 점을 만들어 놓았다. 

7. 새치기의 방향바꾸기 

비루스는 특권방식에서 실행될 때 가장 큰 효과를 낸다. 극소형처리기의 특권방식에 
로 들어 가기 위해서는 새치기(중단)가 발생되여야 한다. 그러면 조작체계는 새치기표로 
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부터 새치기처리기의 주소를 찾는다. 따라서 새치기표 또는 그와 류사한 구조가 주되는 
공격목표로 된다. 새 치기처 리기의 주소를 변경 함으로써 조작체계 가 비루스를 실행 하도록 
방향을 바쿨수 있 다. 비 루스는 스스로 기 억 기 TSR(terminated and - stay - resident ) 프로그람처 럼 
상주하게 하며 대 응하는 새 치기 가 발생할 때마다 실행된다. 

이 공격은 새치기처리기를 변경시키지 않으며 또 새치기처리기를 검사하는 완정성조 
종기구도 이 공격 을 막을수 없 으므로 매 우 효과적 이 다. 류사한 공격 은 파일 배 치 표 ( FAT ) 
에 있는 항목들을 변경시키는 방법으로도 진행할수 있다. FAT 의 항목들은 비루스를 지 
적하도록 변경 되 며 계 속하여 본래 의 파일 에 로의 련결을 포함한다. 

이 형태의 비루스를 제거 하면 또 다른 파괴를 일으키게 된다. 비루스는 표와 파일사 
이의 련결의 일부분이다. 만일 비루스가 제거되면 련결이 파괴되고 파일은 회복될수 없 
으며 결국 그 파일은 조작체계에로 돌아 올수 없다. 

8. 우 I 장 

비루스는 각종 수단에 의한 검출을 피하려고 한다. 그것은 감염된 프로그람을 압 
축하여 감염 이 기 억기의 리용을 증가시키지 않도록 할수 있다. 스텔스 ( stealth ) 비루스는 
FAT 에 《 bad 》로 표시 된 분구에 숨어 있다. 이 리하여 다른 프로그람들은 정 상적 으로 
디스크를 읽을때 이 분구를 뛰여 넘는다. 이 비루스는 자기의 존재 례하면 감염시킨 
파일의 길이，날자，검사합 등을 검출하기 위한 새치기들을 가로 채고 감염전의 값들 
을 돌려 준다. 다형 성 ( polymorphic ) 비 루스는 자신을 암호화하며 또한 패 런 인식 스캐 너 
들에 의한 검출을 피하기 위해 감염시킬 때마다 새로운 암호열쇠를 리용한다. 말리-파 
타이트 ( multi - partite ) 비루스는 검출을 보다 어렵게 하기 위 해 여러가지 감염 형태들을 조 
합한다. 슬로우 인펙 션 (slow infection ) 비 루스들은 즉시 적 인 검 출을 피 하기 위 해 감염 의 
속도를 조종한다. 


제9절. 항비루스쏘프트웨어 

비루스공격들은 완정성조종의 부족점을 리용한다. 따라서 자신을 방어하기 위해서는 
그러한 조종들을 추가하여야 한다. 비루스전용인 일부 유용한 보호기구들이 있지만 대체 
로 그것들은 일반적 으로 완정성을 전제로 한다. 방어전략은 다음과 갈은 요소들을 가진 
다. 

• 예방: 비루스가 체계를 감염시키는것을 막는다. 

• 검출: 체계를 감염시킨 비루스를 검출한다. 

• 반작용: 체계를 깨끗한 상태로 회복시킨다. 

성과적 인 비 루스보호를 위 해서는 관리 수단들과 사용자의 식 이 필수적 이 다. 

1. 물리적이며 행정적인 조종 

물리적이며 행정적인 조종들은 체계에로 들어 오는 비루스를 막기 위한 좋은 수법이 
다. 이러한 수단들중 일부는 아주 단순하다. 만일 플로피디스크에 쓰기를 진행하지 않으 
면 쓰기보호딱지를 붙여 비루스가 그것을 감염시킬수 없게 한다. 만일 조작체계가 접근 
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조종을 제공한다면 그것을 적절히 리용할수 있다. 실례로 망봉사기들에 있는 모든 응용 
프로그람들에 대한 파일허가를 읽기와 실행만으로 설정한다. 

비루스가 체계로 들어 올수 있는 곳에 조종점들을 배치한다. 비루스제거프로그람이 
설치되여 있는 검역기계에서 모든 새로운 프로그람들을 검사한다. 이때 될수록 낮은 특 
권을 가진것 부터 례하면 Guest (손님 ) 으로부터 검 사한다. 더 좋기 는 비 루스스캐 너 를 동작 
시키는데 관문기계를 리용하여 조직 에 로 들어 오는 모든 플로피 디스크들을 검사한다. 

만일 플로피디스크가 깨끗하다고 인정되면 그 디스크에 표식을 붙이고 내적인 리용 
을 위한 검 열을 끝낸다. 만일 표식 이 디스크우에 붙이는것 이 라면 그후에 조직내 에서 권 
한이 없는 디스크들을 적발해 내는것은 사용자의식에 달려 있다. 만일 디스크에 전자적 
인 표식 이 씌 여 진다면 조직내 에 있는 기 계 #建: 그의 존재 를 검 사하고 표식 이 없는 디 스 
크들을 거절할수 있다. 최근에는 방화벽제품들에 흔히 망을 통해서 들어 오는 비루스들 
을 찾아 내기 위한 비루스검사기 가 장비되 고 있다. 

정 기적 으로 비 루스검 사를 진행하며 비루스제거프로그람을 항상 최 신의것 으로 보유해 
야 한다. 비루스제거프로그람은 매개 사용자의 가입각본에 포함될수 있다. 체계편의프로 
그람들은 미 리 정 해 진 시 간에 자동적 으로 검 사를 수행할수 있 다. 

실례로 Unix 체계에서 관리자는 cron 편의프로그람에 어느 때 완정성검사프로그람을 
동작시 키 라고 지 시할수 있 다. 한개 의 보호기구에 만 의 존하지 말고 여 러 가지 기 술들을 조 
합하여 리용해 야 한다. 

유사시에 비루스공격에 어떻게 대응하겠는가를 구체적으로 계획하여야 한다. 비루스 
공격에 대한 서투른 반작용이 비루스 그자체보다 더 큰 피해를 초래한다는것이 자주 지 
적되 고 있다. 공격후에 체 계를 정 확히 복구하려면 깨끗한 여 벌을 가지고 있는것 이 기 본 
이다. 그러나 비루스가 검출될 때에는 그것이 이미 보관된 모든 여벌들에 영향을 미쳤다 
고 보는것이 옳다. 

2. 암호학적검사함 

암호학적 검 사합들은 표준완정 성 보호기 술이 다. 검 사합은 보호하려 는 파일 의 깨 끗한 
판본에 대 해서 계산된다. 이 검사합은 안전한 장소 례하면 ROM 이 나 CD 에 보관된다. 
이 파일이 리용될 때마다 그의 현재 판본에 대하여 계산된 검사합이 보관된 검사합과 비 
교된다. 이리하여 원본에 대한 그어떤 변경도 검출할수 있다. 검사합계수기는 비루스의 
존재 를 검 출하기 위하여 그 비 루스에 대 하여 알지 못해 도 된 다. 

검사합계수기들은 검사합이 재계산되여야 할 때 즉 파일이 변경될 때 나 깨끗한 검 
사합들이 잃 어 졌을 때 공격 받기 쉽다. 그러 므로 그것 들은 쏘프트웨어 를 개 발하는 조직 
들보다 고정 된 쏘프트웨어 도구묶음을 리 용만 하는 환경 에 적 합하다. 검 사합계 수기 들은 
감염 을 일 으킨 비 루스를 지 적하지 못하며 일 단 감염 을 검 출한 다음 그이 상의 작용을 계 
획하는것은 보다 어 려운 일이 다. 

A 보안체계는 자기가 보호하려는 객체의 형태를 알면 공격자의 형태를 알지 
못해도 된다. 보안체계는 객체들의 변경을 검사할수 있다. 
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3. 스캐너 


스캐 너 (scanners) 들은 콤퓨터 비 루스들의 알려 진 모양들(비 루스특징 )을 가지 고 파 
일들을 탐색한다. 즉 검출할 비루스에 대하여 알고 있어야 하며 따라서 부단한 갱신을 
요구한다. 스캐 너 들은 대 부분이 대 중적 인 비 루스제 거 프로그람이 다. 검 사합계 수기 들은 검 
사합이 얻 어 진후에 야만 효과를 가지지만 스캐너들은 아무런 준비 없이 리용될수 있으며 
또 사용자에게 무슨 비루스가 발견되 였는가를 알려 주어 퇴 치 할수 있게 해준다. 

한편 스캐 너들은 능률적 인 고속탐색기 술들을 요구하므로 파일의 시 작과 끝만을 검사 
할수 있으며 따라서 말리-파타이트 (multi-partite) 비루스는 쉽게 이 그물을 벗어 날수 
있다. 전통적으로 스캐너들은 비루스검사를 진행할 때 기억기에 있는 모든 파일들을 검 
사하였다. 접근스캐너 (on-access scanner) 들은 파일에 대한 접근이 요구될 때에만 검 
사한다. 

스캐 너 들은 또한 비 루스서 고들에 있는 콤퓨터 비루스들의 수가 한정없이 증가한다는 
사실 을 고려 해 야 한다. 변 이 엔 진 (mutation engines) 은 새 로운 비 루스변종들을 자동적 
으로 생성 한다. 다형질비루스들은 하나의 비루스종류가 많은 서 로 다른 모양을 나타내도 
록 모습을 부단히 변경시킴으로써 패런인식기술들을 쓸수 없게 한다. 간단한 패런람섹스 
캐너 들은 이 문제 에 대 처 하기 가 불가능하다. 마크로비 루스들은 문자렬대 조방법 으로는 
비 루스코드를 검 색할수 없게 고급언 어 로 작성되 므로 비 루스스캐 너 들에 게 새 로운 문제 를 
제기 한다. 

원래 문자렬대조의 시도는 악의를 가진 쏘프트웨어를 검출하자는것으로서 코드의 문 
장론적속성들을 리용하므로 실제로는 요구되는 보호에 가까울뿐이다. 따라서 개선된 스 
캐너들은 비트렬패런대신에 인식패런 즉 의미론적인 속성들을 인식하는 방향으로 움직이 
고 있다. 

끝으로 틀린 긍정 (false positive) 의 문제 가 있 다. 파일은 우연히 비루스와 갈은 특 
징 (signature) 을 포함할수 있는데 스캐 너는 경 고를 내게 된 다. 스캐 너 가 자기의 자료기 
지에 더 많은 비루스특징들을 가지고 있을수록 이 런 현상은 더 자주 일어 날것 이 다. 

A 객체들은 합법적으로 변경될수 있으므로 보안체계는 보호할 객체의 모양을 
알고 있든가 아니면 공격자의 모양 혹은 그의 행위를 알고 있어야 한다. 그 
래 야만 공격 자들의 존재를 검사할수 있다. 


이 장의 문헌안내 

문헌 [燃] 와 다음의 Web 페지에서는 콤퓨터프로그람보안의 결함들에 대한 분류를 
볼수 있다. 

http://www.itd.nrl.navy.mil/ITD/5540/main_fra.html. 

다음주소에 는 보안바그들을 위 한 우편목록 (mailrnglist) 인 Bugtraq 가 보관되 여 있 다. 
http:/ 八 vww.netspace.org/lsv-archive/bug 仕 aq.html. 
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문헌 [ 142 ] 에 서 는 Intel 의 80x86 처 리 기 의 보안결 함들을 해 석 하고 있 다. 

콤퓨터비 루스에 대 한 많은 책 들은 여 러 가지 변종들의 라렬 에 지 나지 않는다.이 점 에 
서 [8] 과 [49] 가 주목할만한 례외들이며 아주 상세한 기술정보들을 주고 있다. 만일 
우에서 언급한 실제공격들에 대한 이야기에 흥미가 있다면 [148,140,43] 을 보시오. 

이 것 들은 일 반독자들을 위 해 씌여 진 공격 들에 대한 사실 적이야기 들이다. 1989 년 6 
월 판 Communications of the ACM(Vol.32,no.6) 파 [44] 에 서 Internet Worm 에 대 한 자료를 
볼수 있다. 문헌 [22] 에는 마크로비루스에 대 한 방대한 론의 가 주어 진다. [95] 에 는 
Java 의 바그에 대 한 상세 한 정 보가 있 다. CERT 보고서 나 비 루스전문뉴스그룹에 신청 하여 
새로운 공격들에 대하여 학습할수 있다. 

련습문제 

1. 임의의 길 이를 가지는 문자렬을 입구하여 특수한 NULL 문자에 의해서 문자렬의 끝 
을 검 출하는 문자렬 조작에 서 완충기 자리넘 침 문제 들이 많이 발생한다. 이 NULL 기 호 
를 리용하여 어떤 문자렬조작이 탄창에 보관된 귀환주소를 고쳐 쓰는것을 검출하는 
체계를 설계하시오. 

2. 안전한 기동 (secure boot ) 은 중요한 하나의 보안기구이다. 안전한 체계기동을 제공하 
는 리용가능한 제품들의 봉사를 유도하시오. 이러한 기구를 어떻게 실현하겠는가? 

3. 벨-라파둘라모형의 위임 및 자유보안방책으로써 비루스의 감염을 방지하거나 줄일수 
있는가? 

4. 어떤 환경에서 비루스가 쓰기보호된 파일을 감염시킬수 있는가? 

5. 비 루스를 적 발해 내 기 위 한 검 사합과 스캐 너 의 우점 과 결 함은 무엇 인가? 

6. 마크로비루스들은 콤퓨터비루스에 의한 위험을 더 한층 새롭게 증가시켰다. 항비루 
스프로그람이 이 새로운 비루스에 어떻게 대응할수 있는가? 

7. 쏘 프트웨 어 는 실 행 가능한 파일 을 암호화하며 보호 할 수 있 다. 프로 그람을 기 동하면 
실행가능한 파일의 암호가 해득되고 실행된다. 필요한 암호열쇠를 보관하는 세가지 
가능성들을 고찰하자. 

f 열쇠를 콤퓨터의 어느 곳엔가 숨겨 놓는다. 

今 열쇠를 지능카드와 같이 사용자가 보관하는 통표 ( token ) 안에 보관된다. 

_ 열쇠를 암호를 해득하고 명령을 실행하는 수동조작할수 없는 장치에 보관한다. 

이 세가지 방법들의 보안효과를 비교하시오. 

공격자가 이 방법들에 의한 조종을 어떻게 우회할수 있는가? 

8. 자신의 사업 에 적 용된 콤퓨터악용에 관한 법 률과 규정 에 대 하여 소론문을 쓰시 오. 
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제 9 장. 보안평가 


안전한 체계의 사용자들은 그들이 사용하는 제품들이 적절한 보안을 제공한다는 몇 
가지 종류의 담보를 필요로 한다. 그들은 

1. 제 작희 사 /봉사제 공자의 말에 의거 할수 있 다. 

2. 체 계 를 자체 로 시 험 할수 있 다 . 

3. 제 3자에 의한 공정한 평 가에 의 거할수 있 다. 

사용자들이 우의 두번째를 선택할수 있으려면 보안전문가가 되여야 한다. 그러나 대 
부분의 사용자들은 이러한 수준에 도달하지 못하고 있다. 그래서 어떤 보안평가방법은 
신용 받는 보안제 품을 선택하는 길 밖에 없 다. 이 장은 보안평 가방법 들을 개 괄하고 현재 
의 평 가방법 들이 어 떤 편리 성 을 제 공하는가를 론의한다. 


목적 

• 근본문제 가 임의의 평 가기준모임을 찾는것 이 라는것을 옳게 인식하는것 이 다. 

• 평 가기 준들을 비 교하기 위한 기 준을 제 기하는것 이 다. 

• 주요한 평가기준에 대한 견해를 주는것이다. 

• 평가된 제품과 체계의 우점들을 조사하는것이다. 


제1절. 소개 

신용콤퓨터보안평 가기 준 (TSSEC, 오렌지부크) [112] 은 널 리 리용할수 있는 첫 평 가기 
준이였다. 많은 보안체계의 제작자들은 아직 자기들의 제품들에 오렌지부크의 평가를 인 
용하고 있 다. 오렌지부크의 보안기 준을 개 선하기 위하여 수많은 기 준들이 개 발되 였 으며 
제기된 여 러 가지 평 가기준들이 단일화되 였다. 새로운 평 가기준들은 보통 오렌지부크를 
어떻게 자기들의 골격에 맞추는가를 설명하는듯한 느낌을 주고 있다. 중요한 문서들은 
다음과 같다. 

• 정 보기 술보안평 가기 준 (Information Technology Security Evalution Critena-ITSEC) [117] 

• 카나다신용름퓨터 제 품평 가기 준 (Canadian Trusted Computer Product Evaluation 
Criteria) [150] 

• 련 방 기 준 (Federal Criteria) [115] 

• 공통 기 준 (Common Criteria) [26] 

여기서는 다음과 같은 물음들을 제기하고 보안평가에 대한 론의를 진행하기로 한다. 

평가의 목표는 무엇인가? 

평 가기 준은 여 러 가지 다양한 응용들에 리용되 며 일 반적 인 보안요구들을 만족시켜 야 
하는 조작체 계 와 갈은 제 품들이나 또는 주어 진 응용의 요구에 맞게 조립 된 제 품들의 모 
임 인 체계들을 대상으로 한다. 첫 경우에는 일반적 인 요구들을 수용한 모임을 찾아야 한 
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다. 두번째 경우에는 요구파악과 분석이 각각 독립적인 평가부분들로 된다. ITSEC 는 
체계의 평가에 적합하다. 

체계와 제품사이의 차이는 보안평가에서의 근본난점을 강조하고 있다. 사용자들은 
보안전문가는 아니지만 고유한 보안요구들을 가지고 있다. 전형적요구들을 수용한 일반 
기준에 관계되는 기성제품들의 평가는 비전문가에게 쓸모 있는 판단기준으로는 될수 있 
지만 제품들이 실제의 보안요구들을 만족시키지 못할수도 있다. 주문체계의 평가는 파악 
된 요구들을 처 리한다. 그러 나 이 평 가는 비 전문가인 사용자에 게 보안요구들을 적 절 하게 
파악할것을 요구한다. 앞으로는 일반대중을 대상으로 한 보안평가와 특수한 의뢰자를 대 
상하는 보안상담과제사이의 경계가 없어 지게 될것이다. 

평가의 목적은 무엇인가? 

오렌지부크는 다음의 항목들을 구별한다. 

• 평가 ( Evaluation ): 제품이 요구된 보안속성들을 가지고 있는가를 평가한다. 

• 보중 ( Certification ): 평가된 제품이 주어 진 응용에 적합한가를 평가한다. 

• 인정 ( Accreditation ): 증명된 제품을 주어 진 응용에 리용하기로 결정한다. 

이 항목들은 오렌지부크의 용어들이다. 물론 다른 참고서들에서는 이와 다른 용어를 
사용하든가 또는 갈은 용어를 다르게 사용할수도 있다. 그러나 각이한 작용들에 불여 진 
이름들은 그것들이 의미하는 각각의 목적들에서의 근본차이보다 중요치 않다. 

평가방법은 무엇인가? 

평가방법은 다음의 두가지 결과를 초래하지 말아야 한다. 

1. 평가된 제품이 심각한 결함을 포함하고 있다는것을 뒤늦게야 발견한다. 

2. 같은 제품에 대한 서로 다른 평가결과가 일치하지 않는다. 때문에 반복성과 재 
생성은 평 가방법 이 자주 부닥치게 되는 요구들이다. 

보안평 가는 제 품지향 또는 공정 지향으로 될수 있 다. 제 품지향방법 은 제 품을 조사하 
고 검사한다. 이 방법들에서는 공정지향방법보다 제품에 대하여 더 많은 정보가 알려 지 
지만 여 러가지 평가결과가 서로 다르게 나타날수 있다. 

공정 지 향 (검 사) 방법 들은 문서 와 제 품개 발공정 을 조사한다. 그것 들은 값 눅고 반복할 
수 있는 결과들을 얻기가 훨씬 쉽지만 그 결과자체는 크게 가치가 없을수 있다. 유럽정 
보기술보안평가지도서 [118] 의 첫 판본은 내용을 압도하는 반복성의 생동한 실례이다. 

평가기준의 구조는 무엇인가? 

보안평가는 제품/체계가 안전하다는 담보를 목적으로 한다. 보안과 담보는 다음과 
갈은 항목들에서 관계될수 있다. 

• 기능성 ( Functionality ) : DAC ， MAC , 인증，검사와 같은 체계의 보안특징들. 

• 효과성 ( Effectiveness ) : 리 용된 기 구들이 주어 진 보안요구에 적 합한가? 

• 담보 ( Assurance ) : 평 가의 철 저 성 . 

오렌지부크는 표준적 인 DoD 요구들의 주어 진 모임 을 위한 평 가클라스들을 정의한 
다. 때 문에 그의 평 가클라스들의 정 의 에서는 이 세 가지의 측면들이 동시 에 고찰된다. 
ITSEC 는 새로운 보안요구들을 취급할수 있는 유연한 평가구조를 제공한다. 따라서 우 
의 세가지 측면들은 독립적으로 취급된다. 
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평가공정의 조직적구조는 무엇인가? 


보안제품의 속성들에 대한 보안평가는 독립적이고 널리 인정된 판정기준에 도달하여 
야 한다. 독립 적 인 평 가기구는 정부기 관일수도 있고 적절히 인정된 개 별기 관 [135] 일수도 
있다. 두가지 기구들에서 다 정부단체 가 평 가공정을 책 임지 고 증명서들을 발행한다. 인 
정 된 평 가기 구들이 자기 자체 로 증명 서 들을 발행하거 나 평 가자들의 전문기 술대 신에 경 험 
적 인 증언이 사실상 공식적 인 믿음으로 바뀔수도 있다. 

만일 모든 평가들이 하나의 정부기관에서 진행된다면 평가의 일관성을 담보하기 위 
한 조직적부가기구가 필요 없다. 그러나 시간이 지남에 따라 해석에서의 편차(해석표류) 
가 생겨 날 위 험성 이 있다. 평 가기구의 경 쟁부족과 자원의 제 한으로 인하여 평 가속도가 
느려 질수도 있다. 또한 숙련된 평가자가 다른 직무로 이동할 때 직원이동의 문제도 있 
을수 있 다 . 

정부기관은 평 가를 유상으로 할수도 있고 혹은 무료공공봉사로 할수도 있다. 

개 별평 가기구들을 가진 환경 에서는 인증국들이 각이한 기구들사이의 평 가의 일관성 
(반복성과 재생성)을 보장하도록 해야 한다. 해석을 제멋대로 하지 않도록 평가기준들을 
정 확히 형 식 화하는것 이 보다 중요하다. 한편 부당한 압력 에 의해 부정 확한 평 가결 과가 
엄 어 지지 않도록 사전대책을 취해 야 한다. 

기타 조직적인 측면들은 평가의 인증자와 제품생산자 그리고 평가기구사이의 계약상 
의 관계에 관련된다. 그리고 평가증명서를 발급하기 위해서와 평가된 제품의 변경에 대 
한 재 평 가를 위해 평 가의 시 작에 대 한 적 절 한 절 차들도 있 어 야 한다. 

평가의 비용과 리익은 무엇인가? 

평 가를 위한 비 용외 에 도 평 가에 필 요한 증거 들을 얻 는데 와 평 가자들을 키 우고 평 가 
림 과의 련계 를 취 하는데 소비 된 시 간과 같은 간접 적 인 비 용들도 고려해 야 한다. 평 가의 
비 용을 고려 할 때 기 성 제 품과 주문제 품의 평 가를 구별 해 야 한다. 첫 번째 경 우(기 성 제 품 
인 경우)에는 평가의 담보자가 많은 사용자들에게 비용을 전개시킬수 있다. 그러나 두번 
째 경우(주문제품인 경우)에는 평 가담보자와 한명의 주문자가 모든 비용을 부담하게 될 
수도 있다. 


제2절. 오렌지부크 

보안평 가지 침 을 만들기 위한 사업 은 1967년 에 시 작되 여 보안제 품들을 평 가하기 위한 
첫번째 평가지침 인 신용콤퓨터보안기준오렌지부크 (Orange Book ) [11 幻를 만들어 냈다. 
오렌지부크의 저자들은 보다 일반적인 응용에 쓸수 있는 문서를 만들ᅪ 위해 다음과 같 
은것들을 제공하려 고 하였다. 

• 사용자가 를퓨터보안체계에 적용할수 있는 믿음의 정도를 평가하기 위한 기준 

• 콤퓨터 보 안체 계들의 제 작을 위 한 지 침 

• 콤퓨터 보안체 계 들을 도입할 때 보안요구를 묘사하기 위 한 기 초 

보안평가는 체계의 보안과 관련되는 부분 즉 다시 말하여 신용계산기초 TCB (제5장 
2절)를 검토한다. 오렌지부크의 접근조종방법은 벨-라파둘라모형 (제4장 2절) 즉 보안표 
식들의 살창에 기초한 자유 및 위임접근조종으로서 이미 보았다. 참조감시기는 주동체들 
이 객체들에 접근하려 할 때 권한을 가지고 있는가를 확인한다. 
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보다 강한 담보는 형식적인 방법들과 간단한 TCB 들 그리고 구조화설계방법들과 관 
계된다. 벨-라파둘라는 오렌지부크보안방책에 따르는 형식적인 모형의 하나이지만 다른 
모형들은 TCSEC 평가에도 리용할수 있다. TCB 를 보다 간단하게 할수록 보다 포괄적 
인 해석을 가능하게 할것이다. 때문에 복잡한 체계들은 보다 더 낮은 평가콜라스로 떨구 
어 야 한다. 

1. 보안 및 평가범주 

오렌지부크의 평가콜라스는 보안요구의 표준형태를 취급하도록 설계되였다. 이 리유 
로 하여 특정한 보안특징 요구와 담보요구가 평 가콜라스의 정 의안에 서 결 합된 다. 평 가콜 
라스의 서술에서 주요표제들은 다음과 같다. 

• 보안방책 (Security Policy) : 주동체 와 객 체 의 의 미 로 표현한 자유 및 위 임 접 근조종. 

• 객체의 표식 달기 (Marking of objects) : 표식들은 객체의 중요성을 나타낸다. 

• 주동체의 식 별 (Identification of subject) : 개 별적 인 주동체 들을 식 별 하고 인증하 
여야 한다. 

• 책 임 추적 가능성 (Accountability) : 보안관련사건들의 검 열 기 륵들을 보존하여 야 한다. 

• 담보 (Assurance): 조작담보는 주로 보안구성 방식에 귀착된다. 수명 담보는 시험과 
구성관리，설계방법들과 같은 문제들에 귀착된다. 

• 문서 화 (Documentation) : 체 계 관리 자들과 보안체 계 의 사용자들은 그의 보안특징 들 
을 적절하게 설정하고 사용하기 위한 지도서를 요구한다. 평가자들은 시험과 설계문 
건을 요구한다. 

• 일관한 보호 (Continuous protection) : 보안기구들은 함부로 변경 해서는 안된다. 

오렌지부크는 4 개의 보안구분과 7 개의 보안클라스들을 정의하는데 이러한 기준들을 
리용한다. 더 높은 준위 보안클라스에 있는 제 품들일수록 더 많은 보안기 구들을 제 공하 
며 담보가 잘될수록 보다 더 엄격한 분석을 제공한다. 4 개의 구분들은 다음과 갈다. 

D 최소보호 
C 자유보호 
B 위임 보호 
A 검 증된 보호 

오렌지부크의 보안콜라스들은 증가하는 순서로 정의되였다. 한 클라스의 모든 요구 
들은 보다 더 높은 준위 모든 클라스들의 요구에 포함된다. 오렌지부크는 국가적인 보안 
조직 에 의하여 집 행되는 응용분야에 의존하지 않는 보안평 가를 위한 기초이 다. 

D - 최소보호 

이 클라스안에서 평가를 하려는 제품을 찾게 되지만 그것은 오렌지부크의 어떤 콜라 
스의 요구와도 맞지 않는다. 

C 1- 자유보호 

C1 체 계 들은 협 동하는 사용자들이 동일한 완정 성 준위 에 서 자료를 처 리하는 환경 을 
요구한다. 개별적인 사용자들 및 그룹들에 기초한 자유접근조종은 사용자들이 한 조종방 
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식 안에서 객체들에 대한 접근을 공유할수 있게 한다. 사용자들은 자기자신을 증명해야 
하며 자기들의 신분을 인증 받아야 한다. 

TCB 는 동작담보를 위하여 자기자체의 실행령역을 가져야 하며 정기적으로 TCB 의 
정 확한 동작을 검사하는 특징들이 반드시 있어 야 한다. 생 활주기담보는《명백한 결함》 
을 시 험하는 보안에 귀 착된다. 사용자지 도서 와 시 험 문서，설계 문서 들이 제 공되 여 야 한다. 
C1 체 계 를 개 괄한다면 편리 한 환경 으로서 는 적 합하지 만 강력 한 보안을 제 공하지 는 못한 
다는것 이 다. 

C 2 -조종된 접근보호 

C2 체계들은 사용자들이 자기의 행동을 개별적으로 책임지게 한다. 자유접근조종은 
단일사용자단위로 실시된다. 이때 접근권한들의 전파를 통제해야 한다. 주동체는 선행한 
주동체 가 생성한 정 보를 포함하는 TCB 가 취 급한 객체 에 접근하지 말아야 한다. C2 콜라 
스의 정의에 명백히 서술된것처럼 보안관련사건들의 검사리력을 보관하여야 한다. 

시험과 문서화는 새롭게 추가된 보안특징들을 포함해야 하지만 담보는 아직 적다. 

일 반적 으로 C2 는 본질 적 으로 연 약함에도 불구하고 상업 적 인 응용에 서 는 가장 합리 
적 인 콜라스로 간주된다 [7]. 대부분의 주요제 작자들은 C2 로 평 가된 조작체계 나 자료기 
지관리체계의 판본들을 제공한다. 때때로 이들은 C2 에 맞는 구성의 체계설치를 돕는 전 
용의 봉사프로그람들을 제공한다 [122,63 ：|、 

B 1- 표식 붙은 보안보호 

구분 (Division) 묘는 클라스화된 자료들을 처리하며 위임된 벨-라파둘라방책들을 실 
행하는 제품들을 목적 한것 이 다. 여 기 에는 계층적인 분류준위와 비계층적인 콜라스로 구 
축된 매 주동체와 객체를 위한 표식들이 있다. 이 표식들의 완정성들을 보호해야 한다. 
식별과 인증은 주동체의 보안표식을 결정하는데 쓰인다. 

보호가 표식에 의존한다면 그것이 다른 체계나 또는 인쇄기에로 반출될 때 표식된 
객체에 무슨 일이 생겼는가를 주시해야 한다. 해결책은 반출통로의 속성에 의존한다. 통 
신과 I 八)통로들은 단일 준위 또는 다중준위일수 있 다. 다중준위 통로들에 서 객 체 들은 자 
기의 표식을 가지고 반출된다. 단일준위통로에서는 TCB 가 인증된 사용자와 반출된 정 
보의 중요성준위를 지적한다. 사람이 읽을수 있는 출력도 역시 표식을 붙여야 한다. 례 
를 들면 중요한 문서의 매 폐지에는 분류를 인쇄하여야 한다. 

보다 높은 준위 담보을 얻자면 보안방책의 비형식적인 또는 형식적인 모형이 요구된 
다.이때는 검사와 문서화가 보다 철저하게 진행되여 야 한다. 설계문서，원천코드，목적 
코드를 분석하여야 한다. 검사에서 검출되지 않은 모든 결함들을 제거해야 한다. 

그러나 클라스 B1 는 TCB 의 구조에 관해서 반드시 요구되는것은 아니다. 여기서 다 
중준위안전 Unix 체 계 또는 자료기지관리체 계와 같은 복잡한 쏘프트웨어들은 B1 클라스의 
인정을 받아야 한다. B1 콜라스는 구획 (compartment) 이 있는 체 계의 고준위환경을 목적 
한것 이 다. 

B 2 -구조화된 보호 

B2 콜라스는 주로 체계의 설계에 대한 요구를 추가함으로써 담보를 증가시킨다.위임 
접 근조종은 물리 적 인 장치 들에 로의 접 근도 관리한다. 사용자들은 자기 들의 보안준위 의 
변경에 대하여 알아야 한다. 가입과 초기 인증을 위한 신용 받는 경로가 있어야 한다. 
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보안방책의 형식화모형과 체계의 서술적인 고준위설계묘사 ( DTLS ) 가 요구된다. 모 
둘화는 체 계방식의 중요한 설계특징 이 다. TCB 는 처 리들을 격 리시키 기 위한 명백한 주 
소공간을 제 공한다. 하드웨 어는 토막화와 갈은 기 억기 관리를 제 공한다. 잠복통로분석 을 
진행해 야 하며 잠복통로를 만드는 사건들을 검 사해 야 한다. 보안검 사는 TCB 가 침 투하 
기 힘들게 되여 있다는것을 확증한다. 

B 3 -보안령역 

B 3 체계들은 침투하기 매우 어렵게 갱신되였다. B 3 클라스안에서 많은 새로운 요소들 
이 보안관리를 한다. 보안관리자가 지원된다. 기구들의 검열은 보안관계사건들의 출현과 
축적을 감시하고 수상한 정황에서는 자동적으로 경고를 낸다. 체계실패후에는 믿음성 있 
는 회 복을 진행 해 야 한다. 

TCB 의 복잡성 을 최 소화하고 보안과 관계 되 지 않는 모둘들을 배 제하는데 보다 많은 
체계공학적노력들이 돌려 진다. 

A 1- 검증된 설계 

A 1 콜라스는 B 3 과 기능적으로 동등하며 형식적인 방법을 리용하여 가장 높은 준위의 
담보를 준다. 방책과 체계의 형식적묘사와 일관성증명들은 TCB 가 정확히 실현된다는 
높은 급의 담보를 보여 준다. A 1 클라스를 위한 평 가에서 나서는 요구들은 다음과 갈다. 

• 보안방책의 형식화모형， 

• TCB 기능의 추상적정의를 포함하는 가장 높은 준위의 형식적묘사 ( FTLS ), 

• 모형과 FTLS 사이의 일관성증명 (가능한 한 형식적 인), 

• TCB 실 현 이 FTLS 와 일 치하다는것 을 보여 주어 야 한다. 

• 잠복통로의 형 식적분석 (시 간조종통로들은 비공식 적 으로) : 잠복통로들이 계속 존재하 
면 바로 잡아야 하며 대 역폭을 제 한해 야 할수 있다. 

더우기 보다 엄격한 구성관리와 분산조종은 주문자싸이트에 설치된 판본이 (평가된) 
주기계의 복사본과 같다는것을 확증하게 된다. A 1 콜라스로 평가된 제품들은 극히 적 다. 
현재는 비록 이 클라스로 분류된 제품들이 존재함에도 불구하고 A 1 급 제품목록에는 2개 
의 망요소들만이 나타난다. 오렌지부크가 씌 여 질 때는 체계방식과 검사, 형식적 인 묘사 
와 검 증에 대 한 보다 많은 요구들과 믿 음성 있는 설 계환경 을 가지 는 A 1 급이 상의 보다 
높은 준위 담보클라스들까지 도 정 의하도록 고려 되 여 있 었 다. 그러 나 보다 낮은급의 담보 
준위 에 대 해서 조차 복잡한 쏘프트웨어제 품을 평 가하기 어 렵 다는것 이 알려 지 면서 이 방 
향에로 사업을 진척시키지 않고 있다. 


제3절. 신용망해석 

신용망해석 (TNlKRed Book ) [10 기은 오렌지부크에서 소개한 개념과 용어들로써 망 
보안을 설명하였다. 이 책은 오렌지부크의 일반화이며 이 일반화가 어디서 끝나는가 보 
는것이 흥미 있다. 실례로 레드부크는 망의 제한된 클라스에 국한하여 오렌지부크에서 
제 시 되지 않은 문제 들을 해명 하며 ISO 보안구성 방식 (ISO 7498-2[51]) 와 일정 한 범위 에서 
경 쟁한다. 따라서 레 드부크를 오렌지 부크와 그후에 제 안된 [11 기 과 같은 새 로운 기 준사 
이의 련결을 지어 주는것으로 고찰할수 있다. 
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콤퓨터망들을 단순히 어떤 콤퓨터체계의 특정한 실례라고 가정하자. 그러면 오렌지 
부크의 방법들을 적용할수 있다. 레드부크는 이러한 가정을 검토하고 즉시에 다음과 같 
은 망의 두가지 류형을 구별하도록 한다. 

• 여러가지 권한들과 방책들，관리 등을 가지는 독립적인 요소들의 망(호상련결되고 인 
정된 자동화된 정 보체 계). 이 러 한 망에 보안을 실시 하는것 은 매우 어 려 운 일 이 다. 

• 단일 한 인정 기 관과 방책 그리 고 망신용계산기지 (NTCB) 를 가지는 중심 화된 망(단일 
한 신용체계). 

레드부크에서는 두번째 형태의 망만을 취급한다. 콤퓨터망에서 보안기구는 여러 망 
요소들에 분산배 치 될 수 있 다. 때 문에 다음과 갈은 요인에 의해 새 로운 보안문제 들이 제 
기된 다. 

• 통신경로의 결함， 

• 망요소들의 병렬적이며 비동기적인 조작. 

이러한 문제들을 해결하는 암호화와 갈은 기술적기구들은 오렌지부크에서 취급하지 
않는다. 이러한 문제들을 취급하도록 레드부크를 두 부분으로 나누었다. 

부분 I： 오렌지부크의 해석 

부분 II : 기 타 보안봉사들. IS07498-2 의 일정한 등급에 대 응하며 현재는 신용망해석 환 
경 지 도서 [108] 로 교체 되 였 다. 

1. 레드부크방책 

망에서 는 여 러 가지 실체들(사용자들, 봉사제 공자들, 망조작자들., 체 계 관리 자들,:. •••) 
이 보안방책의 실행에 책임이 있다는것이 명백하다. 레드부크 (Red Book) 에서는 보안요 
구들을 진술하고 보안방책들을 결정하며 체계를 평 가에 제기하는 실체를 주최 자 
(sponsor) 라고 부론다. 

보안방책은 비밀엄수와 완정성을 취급한다. 보안방책은 접속지향적인 추상화의 도움 
으로 형식화되며 권한 있는 접속을 조종한다. 정점이름들은 C1 클라스안에서 DAC 그룹식 
별자로서 봉사할수 있다. MAC 는 대화，접속，가상회로와 같은 새로운 개념적인 실체들에 
적용한다. 식별과 인증은《사용자가 떠 나온》정점에 기초할수 있다. 검열궤적은 암호열 
쇠의 리용을 기록해 야 한다. 대 리사용자(감독적 인 사용자)에 대 한 론의는 대표문제의 한 
실례이며 유일한 사용자에 관한 론의는 분포된 체계 에서 이름짓기문제의 실례 로 된다. 

레 드부크는 MAC 가 본질적 으로 중심화된 방책 인 반면에 DAC 는 체계내의 여 러 정 
점들사이에 알맞춤히 분포시 킬수 있다는것을 주장한다. 

2. 완정성 

제1장 1절 4는 용어완정성 에 대 한 단일 한 정의 가 없다는것 을 보여 준다. 레 드부크는 
갈은 문서안에 두개의 서 로 다른 정의를 리용하여 이 점을 례증한다. 이 부분 1에서 완 
정성은 권한 없는 변경을 막기 위한 자료와 표식의 보호를 취급한다. 비바모형은 형식적 
인 완정 성 모형 으로 제 기 되 였 다. 완정 성 은 또한 NTCB 의 정 확한 조작에 귀 착된 다. 부분 
II에서 정보전송의 완정성은 통보문전송의 정 확성 특히 통보문의 원천지와 목적지의 인 
증에 귀착된다. 암호기구는 자료의 고의적 인 변경을 막는다. 
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3 표식 

망에서 위임접근조종은 위임완정성방책을 담고 있다. 완정성표식을 도입한다. 이러 
한 완정성표식은 실례로 객체가 정점들사이에서 전송된적이 있는가를 나타낼수 있다. 

오렌지부크의 매우 협소한 해석은 보안표식이 주동체 또는 객체에 붙여 진 자료구조 
여야 한다는것을 요구한다. 이러한 명백한 보안표식들외에 다른것들도 있다. 객체를 보 
호하는데 암호문을 리용하면 암호열쇠가 암시적인 보안표식으로 될수 있다. 알맞는 열쇠 
에 접근한 주동체만이 객체에로 접근할수 있다. 따라서 열쇠에 대한 접근을 조종하는 표 
식은 암시적으로 암호화된 객체에 대한 접근을 조종한다. 

4. 기타 보안봉사들 

암호화와 통신규약은 보안봉사의 설계 에 지원되는 근본요소들이 다. 

레드 부크의 고유한 보안봉사를 그림 9-1 에 보여 주었다. 매 봉사에 대하여 

• 기능 

• 강도 ( strength ) 

• 담보 

가 지적되여야 한다. 강도는 기구가 자기의 목적에 얼마나 잘 맞는가를 나타낸다.대표적 
실례는 암호화알고리듬의 열쇠길이이다. 담보는 큰 범위의 검사를 하는 리론과 능숙한 
쏘프트웨어공학실천，확인과 검증으로부터 유도된다. 그 등급은 다음과 갈다. 

• 없음 

• 최소 ( C 1) 

• 공정함 ( C 2) 

• 적당함 ( B 2) 

• 제 공되 지 않음-그대 로 

이 등급들은 오렌지부크의 등급들보다 더 응용의존적이며 안전성은 보다 약한것으로 
보고 있다. 

5. 평가클라스들과 구성규칙 

오렌지부크 클라스들은 표준적인 보안요구들을 수용한다. 분할 c 는 협동사용자들을 
위한 환경을 지향한다. 여기서 담보에 대한 요구는 그리 높지 않다. 지향하는 환경에서 
조작체계를 손상시키는것보다 보안을 우회하는것이 더 쉬운 방법이라는것을 추측할수 있 
다. 망에서 단일준위요소들로써 MLS 체계를 구축할수 있다. 그러나 C 2 평가된 단일준 
위요소들은 분할 B 체계에 요구된 담보준위로는 평가되지 않았을것 이 다. 따라서 B 3 클라 
스와 상응한 담보준위에서 위 임접근조종이 아니라 검사를 위한 자유접근조종과 실시간경 
고를 제 공하는 요소들을 위한 새 로운 클라스 C 2+ 가 도입 되 였 다. 

콤퓨터망은 마디나 통신규약 갈은 명백히 식별할수 있는 요소들을 가지고 있다. 이 
요소들의 보안등급으로부터 평가된 요소들로 구성된 망의 보안등급을 계산하는 평가방법 
을 찾을것이 요구된다. 실례로 맞춤한 강도의 식별통과규약을 통하여 통신하는 두개의 


150 








제 4 절. 정보기술보안평가기준 


유럽 정 보기 술보안평 가기 준 [117〕은 네데 를란드，영 국, 프랑스， 도이월 란드가 국가적 
보안평 가기 준을 정 의하는 과정 에 생 겨 났다. 첫 초안이 1990년에 출판되 였 으며 정 보기 술 
보안기준 ( ITSEC ) 이 1995년 4월 7일에 유럽동맹평의회 에 의 하여 권고안으로 정 식 인정 
되 였 다. 유럽문서 로서 TSEC 를 수많이 번역하였는데 유일하게 번 역하는데 서 난관들이 
제기되였다. 

ITSEC 는 오렌지 부크에 대 한 각이한 해 석 들로부터 엄 은 교훈에 기 초한 론리 적 인 진 
보이다. 오렌지부크는 신축성이 없었으므로 ITSEC 는 새롭게 제기되는 보안요구들을 
취급할수 있는 보안평가골격을 제공하려 하였다. 기능성과 담보사이의 련결이 파괴된다. 
레 드부크가 강도와 담보를 구분하였다면 ITSEC 는 유효성과 정 확성을 구분하였다. 유효 
성은 체계가 직면한 위험을 극복하는데 얼마나 적합한가를 나타낸다. 정확성은 체계의 
발전과 조작에 관계되는 담보측면들을 포함한다. 


1. 평가처리 

보안체계는 물론 보안제품에도 기준이 작용한다. 제품은 기성으로 주어 질수 있다. 
따라서 다만 그의 조작환경 에 대 한 일 반적 인 가정만을 할수 있다. 체 계는 특정한 실세 계 
환경 에 전개 된 다. 두 항목을 다 포함하도록 하기 위해 ITSEC 는 평 가목적 ( TOE ) 에 귀 착 
된 다. 

평 가의 주최 자는 조작요구와 위험징 후들을 결정하여 야 한다. TOE 의 앞으로의 보안 
목적 은 법과 기 타 규칙들에 의존한다. 그들은 필요한 보안기능성과 평 가준위를 수립하였 
다. 보안목적은 평가와 관련되는 TOE 의 모든 측면들을 서술한다. 그것은 TOE 의 보안 
기 능성과 있을수 있는 위험 징 후，달성할 목적，리용할 보안기구들의 세부들을 서술한다. 
보안목표는 다음의 항목들을 포함할수 있다. 

• 보안목적 (조직적보안방책의 부분인 체계보안방책에서 서술됨), 

• 체계환경에 대한 진술， 

• TOE 환경 에 대 한 가정， 

• 보안기 능(기 술적 보안방책 에 서 서 술됨 )， 

• 보안기능들의 리론적기초, 

• 요구되는 보안기구, 

• 요구되 는 평 가준위 (제 9장 4절 4)， 

• 기구들의 최소강도의 주장된 등급. 

매 평가준위에서 기준은 책임자가 평가자에게 넘겨 줄 항목들을 렬거한다. 

평 가자는 내용과 표현에 대 한 어떤 요구가 만족되는가에 관심을 돌리면서 이 항목들 
이 제공된다는것과 그 항목들이 요구되는 증거를 명백히 제공 또는 보장한다는것을 담보 
한다. 

주최자/개발자와 평가자사이의 긴밀한 협동처리를 권고한다. E 1 이상의 클라스들에 
대 해 평 가자는 예 비적 으로 검사를 진행한 다음 개 발자가 제공하는 결과들을 분석한다. 
증명서는 TOE 가 그의 보안목표에 맞는가 어떤가를 진술한다. 
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2. 보안기능성 

오렌지부크의 콜라스정의에서 어떤 특정한 보호기구와 그의 기능 그리고 실현해야 
할 방책들의 리론적근거 에 대 한 몇 가지 지적들을 볼수 있다. 그러 나 이 세 가지 문제들을 
론하기 위한 조직 적 인 활동은 찾아 볼수 없 다. ITSEC 가 바로 그것 을 한다. 보안기 능 
을 서술할 때 다음의 항목들을 진술해 야 한다. 

• 보안의 목적: 왜 기능이 요구되는가? 

• 보안기능: 실제로 무엇을 하는가? 

• 보안기구: 그것을 어떻게 실현하는가? 

보안기 능들의 그룹화를 위한 일 반적 인 주제 들은 다음과 갈다. 

• 식별과 인증， 

• 접근조종， 

• 책 임 추적가능성 : 권한의 사용을 기 록한다. 

• 검사: 보안에 위험을 줄수 있는 사건들을 적발하고 조사한다. 

• 객체의 재리용， 

• 정밀성 : 자료의 정확성과 일관성 (이것은 완정성의 정의들중의 하나이다)， 

• 믿 음성 : 봉사의 일 관성 과 리 용가능성， 

• 자료교환: 국제규격 ISO 7498-2 에 귀 착한다. 

TOE 의 기능은 개별적으로 또는 10개의 미리 정의된 기능클라스들중의 하나를 참조 
하여 지 적할수 있 다. 첫 5개 즉 F 1- F 5 는 오렌지 부크 클라스들의 기 능성 을 반영한다. 
오렌지 부크와 ITSEC 사이 의 사영 을 그림 9-2 에 제 시하였 다. 나머 지 클라스들은 특정한 
응용령역 을 가진 다. 

F 6： 높은 준위 완정성 실례로 자료기지들 

F 7： 높은 준위 리용가능성 

F 8： 통신기간에 자료완정 성 

F 9： 높은 준위 기밀성(암호화장치) 

F 10: 높은 준위 기밀성과 완정성을 요구하는 망 

이 콜라스는 이이상 더 정의되지 않는다. ITSEC 는 새로운 기능콜라스들을 추가하 
기 위하여 공개된 원리 이 다. 

3. 유효성담보 

보안기능들과 기구들의 유효성을 검사하자면 이것들이 지향하는 응용을 위해 《옳다》 
는것을 확증해야 한다. 완벽한 보안이 현실적 인 목적은 아니 다. 공개된 약점들에 관한 해 
결방도를 찾아야 한다. 공개된 약점들의 필연적 인 결과가 주어 진 위험들을 허용할수 있다 
는것을 주장해야 한다. 유효성을 평가하자면 다음의 항목들을 검토해야 한다. 

• 기능성의 적합성， 

• 기능성의 결합(서 로 다른 기능들의 량립성), 

• 기구의 강도， 

• 사용의 용이성， 
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• TOE 의 구조안에서 보안약점의 평 가: 실례 로 보안시 행 기능을 우회하거 나 손상시 키 
는 방법들을 말한다. 

• TOE 의 조작내에서 보안약점을 평가. 

4. 정확성의 담보 

정확성의 담보는 7개의 평 가준위 E 0- E 6 을 리용하여 표현한다. E 0- E 6 평 가준위들의 
신뢰도는 증가하는 순서로 높아 진다. 이 준위들은 TOE 의 구축과 조작에 귀착되며 개 
발자가 제공해 야 할 문서목록과 평 가자가 수행해 야 할 행동절차의 목록을 서술한다. 이 
문서들과 행동들은 다음의 항목들로 귀착된다. 

• 개 발공정 : 하향식방법，보안요구들, 구조적설계，세부적 인 설계와 실현의 순서 로 고 
찰한다. 

• 개발환경 : 구성조종과 개발자보안을 포함한다. 

• 조작: 사용자와 관리자를 위한 조작문서와 전달, 구성，기동，조작을 포함하는 조작 
환경에 귀착된다. 

7개의 평가클라스들의 주요특징들을 다음과 같이 요약할수 있다. 

E 0： 평 가가 실패한 TOE 들에 할당된 적 당치 않은 담보 

El ： TOE 의 보안목적과 형식적인 서술. 검사는 TOE 가 자기의 보안목적을 성취하 
였는가를 나타낸다. 

E 2： 세부적인 설계의 비형식적인 서술을 추가한다. 검사의 증거를 제공 받아야 한 
다. 구성조종과 조종식분배처 리가 있다. 

E 3： 보안기능에 대응하는 세부적인 설계와 원천 코드를 제공 받는다. 

E 4： 보안방책에 대한 형식적인 모형이 있어야 한다. 구조적이며 세부적인 설계를 
위한 엄격한 방책 과 표현이 요구된다. 약점분석은 이 엄격한 방책 에 기 초하여 
진행해야 한다. 

E 5： 세부설계와 원천코드사이 밀접한 대응을 수립해야 한다. 약점분석은 원천코드 
를 리용한다. 

E 6： 보안방책의 형 식 모형과 일 치하는 TOE 의 보안구조의 형 식서 술이 요구된다. 


OB 
D 
公 I 
C2 
B1 
B2 
B3 
A1 


ITSEC 

E0 

F1+E2 

F2+E2 

F3+E3 

F4+E4 

F5+E5 

F5+E6 


그림 9-2 .오렌지부크와 ITSEC 사이의 대응 
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오늘 E 3 은 상업적 인 보안제품들을 위한 가장 일반적 인 평가준위 이 다. 안전한 조작체 
계나 자료기지관리체계는 표준적으로 F 2+ E 3 결합을 목표로 하고 있다. 자유접근조종이 충 
분한것으로 보이지만 C 2 클라스가 제공하는것보다 더 높은 준위 담보를 요구한다. 대부 
분의 평가는 여전히 오렌지부크클라스들과 류사한 기능콜라스들에 관하여 수행된다. 


제5절. 공릉기준 

유럽 보안기 준은 기 능과 담보요구들을 분리 하고 총적 인 보안체 계 들을 고려 함으로써 
레드 부크와 신용자료기지해석 (Trusted Database Interpretation ) 에 의해 로출된 문제 
들에 해 답을 주었다. 

ITSEC 가 제 공하는 신축성 은 유리한 경 우도 있지 만 결 함도 있 다. 제1장 4절 3에 서 
강조한 콤퓨터보안의 근본난점을 상기해 보자. 보안전문가가 아닌 사용자들이 주어 진 
보안목적이 자기들에게 적합한가를 어떻게 알수 있는가? 

평 가기 준의 발전경 로에 서 다음순서 는 련방기 준 (US Federal Criteria ) [115] 이 다. 
이 책은 평가클라스들의 정의에서 보다 개선된 지도서를 제공하면서도 일부 신축성등급 
은 그대로 유지하는 다음단계의 평가기준이다. 련방규격은 제품의 평가와 평가클라스정 
의에서 기능과 담보사이의 련결을 주장하며 제품독립인 보호프로필을 통하여 오렌지부크 
의 신축성 없는 구조를 극복하려고 하였다. 보호프로필은 다음과 같은 5개의 부분들을 
가진 다. 

• 서술요소: 해결할 정보보호문제의 서술을 포함하는 보호프로필의 《이름》. 

• 리론적 근거 : 있을수 있는 위험，사용환경，사용에 대 한 가정，해결 할 정 보보호문제 의 
세부적서술，보안방책에 대한 안내를 포함하는 보호프로필의 기본적 인 정당화. 

• 기능적요구: 제품이 제공해야 할 보호경계를 설정. 이 경계내에서 예견한 위험들과 
부닥칠수 있다. 

• 개 발담보요구: 개 발공정 과 개 발환경，조작지 원과 개 발증거 를 포함하는 초기 설계 로부 
터 실천단계까지의 모든 개발단계. 

• 평가담보요구: 평가의 형태와 강도를 서술한다. 

보안평가가 사회적으로 인기를 끌게 하자면 평가증명서가 될수록 널리 인정되여야 
한다. 이 방향에서 첫 단계는 평가기준의 공통모임을 합의하는것 이 다. 이로부터 국가적 
보안평 가를 책 임 진 여 러 조직 들 이 공통기 준편 집 위 원회 (Common Criteria Editing 
Board , CCEB ) 에 서 서 로 협 력하여 CSEC , ITSEC , CTCPEC , 련방기 준과 같은 현재 
리 용하고 있거 나 또는 새 로 만드는 평 가기 준들을 하나로 관통시 키 기 위 해 노력한 결과 
공통기준 [26] 을 만들어 냈다. 최종목적은 IS ◦규격의 형태로 국제적으로 인정되는 기 
준모임을 만드는것 이 다. 

공통기 준은 여 러 선행한 기 준들의 내 용을 포함한다(결과 독자들은 방대한 문서 들과 
맞다들게 된다). 공통기준은 또한 ITSEC 의 총적 인 신축성을 포기 하고 보호프로필과 
미리 정의된 보안클라스들을 리용하는 련방기준을 리용하고 있다. 이 클라스들의 정의는 
보안목적，리론적토대，우려되는 환경，앞으로의 응용상 주의점들에 대한 정보를 포함하 
고 있으므로 사용자들을 위한 지도서 로 된다. 오렌지 부크의 클라스들과 류사한 일부 클 
라스들이 실례로 주어 지지만 새로운 보안클라스들을 추가하는 공정이 있을것이라고 예 
상된 다. 
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제 6 절. 품질규격 

검사식평가의 최종단계는 제품 그자체에 대한 평가보다도 그 제품이 어떻게 개발되 
는가를 평 가하는것 이 다. 그러면 회 사는《 안전체 계 의 보증된 생 산자》로 된 다. 이 러 한 
방책 은 품질조종의 령역 에서 널 리 증명되 였다. ISO 9000 과 같은 규격 들은 자기들의 제 
품들을 보증하기 위하여 내부품질관리와 외부품질담보을 어 떻게 할것 인가를 권고한다. 
일부 제 작자들은 사용자들이 ISO 9000 품질 표식 을 특정한 제 품의 보안증명 서 보다 훨씬 
더 믿기때문에 보안평가는 이 방향으로 나가야 한다고 주장하고 있다. 

이러한 제안이 안전체계개발자들의 인기를 끌고 있다. 평가비용이 훨씬 줄어 드는것 
이 다. 만일 안전체계개발자들이 이 제 안을 받아 들인다면 안전체계사용자들은 손해를 보 
게 되는가? 이것은 선행경험으로는 알수 없다. 결국 증명서는 체계가 파괴되지 않는다는 
담보가 아니다. 

그러므로 개별적으로 평가된 제품들이 인정된 개발자들이 만든 제품보다 더 완성 
된 보안을 제 공하는가를 판단하기 위한 자체 의 기 준을 가지 고 매 개 평 가기 구들을 대 해 
야 한다. 


제7절. 평가비용 

보안평가는 정부요구에 의하여 만들어 진 값 비싼 공정이라는 비난을 밤았다. 이러 
한 의견들은 유럽콤퓨터제작자련합 ( ECMA ) [기에서 출판하는 보고서에서 제기되였다. 
이 보고는 비용과 생산성，보안사이의 균형에 대하여 주장하면서 이 요인들중 임의의 두 
개 요인들은 세번째 요인과 반작용한다는것 을 강조하고 있 다. ECMA 는 현재 IT 보안을 
단순한 기 술적문제 로 취 급하는것 을 반대하며 보안체 계관리 의 중요성 이 무시 되 는 조건에 
서 보안평가에 헛된 노력을 계속하여 생기는 투자의 불균형을 관찰한다. 

현재 평가공정에 대한 그들의 비평에서 평가비용(개발비용의 10~40%)과 이 평가가 
완성 될 때 까지 의 시 간지연 이 리해 관계 의 령 역 이 다. 언급된 기 타문제 들은 다음과 같다. 

• 기준해석에서의 애매성과 기준의 점차적인 변형， 

• 평가된 제품의 새로운 판본을 재평가하는 비용， 

• 평가공정의 기밀성. 

ECMA 는 조작체 계 보안의 토대 를 수립하는데 서 오렌지 부크의 C 2 클라스의 역 할을 인 
정한다. C 2 는 주로 정 부의 보안요구에 맞는것 이 므로 수많은 통과암호식 의 고유한 요구 
들은 물론 식 별과 인증，접 근조종, 책 임 추적가능성 과 검사，객체의 재 리 용，정 확성，봉 
사의 믿 음성 을 고려하는 상업 적 인 기 능성 클라스 ( COFC ) 가 참고문헌 [6] 에 제 안되 였 다. 
보안평가에서 ECMA 를 ISO 9000 과 같은 품질규격으로 볼것을 권고한다. 

끝으로 증명 서 들은 어 떤 제 품의 특정한 판본판과 특정한 구성 에 적 용한다는것 을 명 
심해야 한다. 실제의 설치에서는 대체로 서로 다른 판본과 서로 다른 구성이 리용되므로 
엄밀히 말해서 증명서는 직접적인 보안담보를 할수 없다. 
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이 장의 문헌안내 

보안평가와 보안모형의 형식화의 초기력사는 [93] 에서 볼수 있다. 오렌지부크 클라 
스들의 견해와 보안평가에 대한 실례들은 참고문헌 [3이에 있다. Blacker 에 대한 간단 
한 설명은 [157] 에서 찾아 볼수 있다. 평가기준，부속문서들과 평가된 제품의 목록을 
보여 주는 Web 싸이트들은 다음과 같다. 


http ：// ww . radium . ncsc . mil / teep / process / faq.html TCSEC 의 페지이다. 여기 

서도 평가제품들의 목록을 찾아 볼수 있다. 

http ：// www . itsec . gov.uk ITSEC 의 페 지 이 다 . 

ftp ：// ftp . cse - cst . gc . ca / pub / criteria/CTCEDC 카나다평 가기 준의 페 지 이 다. 

http : // csrc . ncsl . nist . gov/cc 공통기 준의 페 지 이 다 . 

ITSEC 보증제품들의 목록은 [136] 에 출판되였으며 6개월마다 갱신된다. 

여 러준위안전체 계들의 담보와 잠복통로측면들에 대 한 사례 연구는 [74] 에 있다. 

련습문제 

1. 보안평 가는 목표가 변화되 는 경 우에 도 진행 되 여 야 한다. 제 품개 발은 하나의 특정한 
갱신판이 평가될 동안 한자리에 머물러 있지 않는다. 평가증명서들을 어떻게 최신으 
로 유지하겠는가? 

2. 보안제품들은 목표가 변화되는 경우에도 들어 맞아야 한다. 위협환경이 제품의 수명 
기간에 변한다. 변화하는 위협환경에서 증명서들을 최신으로 유지하는 항비루스제품 
들의 평가기구를 어떻게 설치하겠는가? 기구에는 조작체계의 평가에 포함시켜야 할 
요소들로서 어떤것들이 있는가? 

3. 추가된 값을 제공하는 보안평가로부터 무엇을 예견하는가? 

4. 평가기준은 보안을 모르는 사용자들이 고유한 보안요구를 만족시킬수 있게 도와 준 
다. 보호프로필 이 이 문제 를 위한 옳은 해 결 방도로 되 는가? 

5. ITSEC 는 보안체계의 평가를 포함한다. 상담 ( consultant ) 은 의뢰자들에게 그들의 
보안문제 를 해 결 하기 위 한 조언을 준다. 상담을 청하는것 이 좋은가 평 가가 좋은가? 
평가는 상담을 청하는것보다 어떤 우점을 가지는가? 

6. 방화벽 을 위한 보호프로필 을 작성 하시 오. 

7. 잠복통로의 블로크화와 감시 를 위한 선택 을 검 사하시 오. 잠복통로의 블로크화에 의 
하여 영 향을 받는 체 계의 리 용능력은 어떠한가? 
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제 3 편. 분산체계 


제10장. 분산체계의 보안 


콤퓨터보안은 방책이 단일하고 체계행정이 단일하며 보안시행체계가 하나인 경우에 
는《쉬워 진다》. 앞에서 고찰한것처럼 이러한 유리한 환경에서조차 보안을 그대로 실 
현하는것은 비현실적인것으로 되지만 그래도 분산체계보다는 훨씬 좋은 환경에 있다고 
말할수 있다. 

여기서는 어떤 망으로 결합된 콤퓨터의 모임을 간단히 분산체계 (또는 이종체계 혹은 
련합체계)라고 표현한다. 분산체계의 구성요소들은 서로 다른 조직들의 지배 하에 놓여 
있게 되므로 보안방책도 서로 차이날수 있다. 리상적인 분산체계인 경우 사용자들은 자 
기들이 리용하고 있는 봉사와 대상이 놓여 있는 위치를 알려고도 하지 않는다. 

목적 

• 분산체계에서 제기되는 보안의 기초적인 문제들을 평가한다. 

• 분산체계의 보안이 어떻게 발전해 왔는가를 본다. 

• 분산체계에서 보안기구를 실현할 때 체계의 어느 층이 가장 적합한가를 검토한다. 

• 분산체계에서 현재 도입된 보안기구들의 전망과 있을수 있는 착오를 미리 추측해 
본다. 


제1절. 소개 

계산환경을 변화시킬 때마다 사용자는 설치된 보안기구의 적합성을 재평가하지 않 
으면 안된다. 집중체계로부터 분산체계에로 넘어 갈 때 보안에 반드시 영향이 미치게 되 
므로 분산체계보안을 검토할 때에는 먼저 집중체계에서 보안을 뒤받침해 주고 있는 모든 
암시 적 가정 들을 리 해 하는것 이 본질적 인 문제 로 된다. 

변화가 어떻게 사용자에게 영향을 주는가를 보기 위하여 통과암호에 의한 인증방법 
을 간단히 고찰하자. 통과암호들은 기계에로의 회선이 고정된 말단장치우에서 사용자가 
작업하는 경우에는 실용적이라고 볼수 있다. 이때 말단장치와 기계사이의 련결이 보호되 
여 있으므로 통과암호를 도청할수 없고 통보문을 변화시키거나 삽입 또는 대화를 진행할 
수 없다고 확신할수 있는 타당한 근거가 있게 된다. 분산체계에서는 통신회선의 보호에 
대한 이러 한 가정 을 준수하기 어 렵 다. 그럼 에 도 불구하고 통과암호들은 분산체 계 에 서 아 
직까지도 가장 대중적 인 인증기구로 되고 있다. 

10년전까지 만 하여 도 분산체 계 에서 보안이라고 하면 주로 인증과 결부시켜 보는것 이 
기본이였지만 오늘날에는 내부망들의 경계를 보호하는 방화벽과 분산대상에 대한 접근을 
보호하는 보안구성방식이 주류로 되고 있다. 이외에도 분산체계의 본성으로부터 사용자 
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권한의 포기와 부여，신용 그리고 보안과 분산체계의 다른 특징 (실례 로 믿음성 및 리용성) 
사이의 호상작용문제가 보안의 문제로 되고 있다. 분산체계의 현 상태를 살껴 보기 위하 
여 먼저 분산체 계 에 서 의 일 반적 인 보안방책 과 보안시 행 을 고찰한다. 

1 . 보안방책 

분산체계에서 사용자들은 자기들이 접근하려는 대상인 마디에 반드시 등록되여야 한 
다는 법은 없다. 

• 어떤 방법으로 사용자들을 인증하겠는가? 

• 무엇에 기초하여 접근조종을 결정하겠는가? 

다음의 3가지 선택항목들은 이 두가지 질문에 해답을 주고 있다. 사용자인증 특히 
접근조종은 이 선택항목들에 기초하여 진행될수 있다. 

• 사용자신원， 

• 사용자가 조작하는 망주소, 

• 사용자가 호출하고 있는 분산봉사(접근조작). 

Unix 는 첫번째 선택항목을 씨서 ftp 또는 telnet 와 같은 원격접근봉사를 진행한다. 
ftp 프로그람은 Unix 체계들사이에서 파일들을 전송하며 telnet 는 원격가상말단을 창조한 
다. 이 두 프로그람은 사용자에게 사용자이름과 통과암호의 입력을 재촉한다. rlogin 프 
로그람은 telnet 와 류사하게 동작하는데 현재의 사용자이름을 자동적으로 전송하며 통과 
암호의 입 력만을 재촉한다. 이 3가지 경우에 모두 표준적 인 Unix 접근조종기구를 적용할 
수 있지만 망에 의한 통신은 새 로운 불리 한 점들을 산생시키게 된다. 뒤 에서 보다 적 합 
한 인증방안을 론의 한다. 

만일 사용자신원에 근거 하여 접근조종이 결정된다면 사용자접근권한을 어떤순서로 
결정해 주겠는가? Unix 환경에서는 사용자특권(뿌리) 그리고 원격마디로부터 오는 프로 
그람 (SUID 프로그람)의 특권과 그 소유권의 기능을 결정해 주어야 한다. 여러준위보안 
에서 표식화방식들은 분산체계의 마디들사이에서 차이가 있을수 있다. 오렌지부크와 레 
드부크에는 마디사이의 자료전송을 위한 방책이 제시되여 있으며 여러가지 립도로 된 보 
안기호들이 표기되여 있다. 

악조건인 경우에도 분산체계 에서 접근조작은 새로운 의미를 산생시킬수 있다. 다음 
과 갈은 정황을 상상해 보자. 사용자가 원격봉사기에 보관되여 있는 자료에 대하여 읽기 
요구를 보낸다고 하자. 이때 봉사기는 사용자체계에 련결되여 있는 출력통로에로 자료를 
쓸것 이 다. 봉사기는 읽기접근규칙 또는 쓰기접근규칙 중에서 어느것을 적용하게 되는가? 

체계에서 확정적인 마디들로부터 오는 사용자들은 다시 인증할 필요가 없다고 결정 
해 도 된다. Unix 에 서 는 . rhosts 파일 에 신용 받는 주마디 (trusted hosts ) 로 표기 할수 있 
다. 또한 신용 받는 사용자 (trusted users ) 를 정의 할수도 있는데 이 사용자는 통과암호 
를 제공하지 않아도 되며 rsh(remote shell ) 지령의 사용을 허용 받는다. 이러한 특징돌 
은 매우 단순한 단번서명체계를 제공하지만 통보문인증의 질에 결정적으로 관계되며 제8 
장 7절 1에서 설명한바와 같이 신용 받는 령역에로 사용자를 허락하는 초기실체인증에도 
관계된다. Windows NT 에서 신용관계는 신용 받는 령역에 있는 사용자들이 신용하는 
령역의 자원에 접근하는 보다 정교한 수단을 제공하고 있다(제7장 5절 4). 
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2. 우 I 임 

분산체계에서 통제된 호출 (controlled invocation ) 은 문자그대로 새로운 차원을 
의 미한다. 사용자는 국부마디 에 가입한 다음에 원격마디의 프로그람을 실행시 킬수 있 
다. 원격마디의 자원에 접근하기 위하여 프로그람은 해당한 접근권한을 필요로 한다. 
사용자접 근권한이 프로그람에 부여 되 고 이 접 근권한으로 프로그람이 원격마디우에 서 
동작하게 된다. 이 처 리를 위 임 ( delegation ) 이 라고 한다. 

이때 원격마디우의 프로그람은 사용자에 의하여 위 임된 모든 접 근권한을 가지 고 
동작하고 있다. 분산체계에서 사용자들은 자기들이 거의 조종할수 없는 마디에 모든 
권한을 준데 대 하여 안심할수 없 다. 원격마디 우에 서 보호가 약하면 공격 자는 사용자 
접근권한을 랄취하여 비법적인 목적에 리용할수 있다. 따라서 사용자들이 자기들이 
위 임 하는 권 한들을 조종할수 있 고 책 임 추적 가능성 기 구 (accountability mechnism ) 들 
이 위임된 접근권한의 사용을 분간할수 있는 체계라면 보다 좋을것이다. 

대 중적 인 봉사에 서 는 원격 봉사요구를 처 리 하기 위 하여 대 리 사용자 (proxy user ) 들 
을 창조할수 있다. 먼저 원격사용자에게 봉사를 진행할수 있는 권한이 주어 졌는가를 검 
사한 다음 원격사용자가 위 임한 권한대신에 그자신의 권한으로 동작하게 하면서 대 리사 
용자가 요구된 동작을 수행 하게 한다. 

3. 보안시행 

일단 방책들을 분류하였다면 이것을 어떻게 시행하겠는가를 결정해 주어야 한다. 명 
백히 다음과 같은 질문이 제기된다. 

• 사용자를 어디서 인증하겠는가? 

• 접근조종을 어디서 결정하겠는가? 

여 기서 《 어 디서》라는 질문은 두가지 방법 으로 해 석할수 있다. 제1장 5절에서 본 
다섯번째 설계 결심 을 고려하면 보안을 집중적 으로 실현하겠는가 또는 국부적 으로 실현하 
겠는가를 결정할수 있다. 집중적인 경우에는 커베로스 ( Kerberos ) (제10장 2절 1) 와 같은 
인증봉사기 와 입 장표수여 봉사기 를 의 뢰 하거 나 방화벽 을 설 정 하여 내 부망에 대 한 접 근을 
조종할수 있다(제13장 4절). 국부적 인 경우에는 디지 털사의 수자식분산체계보안구성 방식 
(제10장 2절 2) 에서와 같이 보안시행은 개별적인 마디우에 있는 조작체계에 맡긴다. 또 
한 다른 방법 은 제1장 4절 2에서 본 두번째 설계결심 에 근거하여 분산체 계 에서 보안을 
실 현하는 가장 적 합한 층을 결정할수 있는데 이 방법 은 제10장 4절 에 서 고찰한다. 


제2절. 인증 

망으로 전송된 보호되지 않은 통과암호들은 하나의 명백한 약점으로 된다. 이러한 
약점의 리 용은 쉽게 자동화될수 있다. 통과암호탐지자 (password sniffer ) 는 망통신을 
주의 깊게 살피다가 통과암호와 기타 보안에 관계되는 정보들이 들어 있는 파케트들을 
추출하는 프로그람이다. 그러므로 분산체계보안을 실현하는 첫 단계에서는 보다 좋은 인 
증방안을 검토하게 된다. 아래에서는 집중 및 국부보안시행의 두가지 방안을 실례로 하 
여 고찰한다. 
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1. 커베로스 

커 베 토스체 계 는 1980년대 에 아테 네 ( Athena ) 개 발계 획 의 테 두리 에 서 매 써 츄쎄 쯔공과 
대 학 ( MIT ) 에 의 하여 개 발되 였다. 아테 네는 MIT 의 범위를 벗 어 나 대 학생들에 게 콤퓨터 
자원을 제공하고 등록자리설정과 갈은 추가적인 관리기능을 포함하였다. 커베로스가 제 
기한 모험과 위협은 [103] 에서 서술되여 있는데 그 일부를 인용하면 다음과 같다. 

환경은 실례로 은행거래，기밀에 속하는 정부자료，대학생성적，위험한 실험의 
조종 등과 같은 민감자료나 모험 이 큰 조작에는 적합하지 않다. 모험은 주로 권 
한이 부여 되 지 않은 사람들이 자원을 통제없 이 리용하거 나 체 계 자원 또는 사용자 
자원의 완정성위반, 개인용파일들을 되는대로 보는것과 같은 사적비밀의 란폭한 


커베로스는 이때부터 사용자들의 인정을 받게 되였으며 특히 Internet RFC 1510 과 
갈은 분산체계의 인증에서 공업규격으로 채용되였다 [80]. 커베로스는 분산체계에서 봉사 
를 위 해 의 뢰 기 들 을 인 증 한 다 . 입 장표 ( ticket ) 와 중 앙보 안봉사기 (central security 
server ) 라는 개념을 받아 들여 인증체계를 구성하였다. 《당사자》 ( principal ) 라는 말은 
망통신에 참가하는 의 뢰 기 (사용자)들과 봉사기 를 의 미 한다. 

• 커 베 로스인중봉사기 ( KAS ): 가입할 때 당사자들을 인증하고 입 장표들을 내 보낸 다. 
이것은 일반적 으로 하나의 체 계 가입 대화에 유효하며 당사자들이 입 장표수여봉사기 로 
부터 다른 입 장표들을 얻 을수 있게 한다.인증봉사기 를 때 로는 열쇠 분배쎈터 ( KDC ) 
라고도 부른다. 

• 입 장표수여 봉사기 ( TGS ) : 인증을 요구하고 있는 당사자에 게 망봉사에 로의 접 근을 
주는 입장표를 내보낸다. 

커 베 로스는 니 드행 -슈뢰 더 ( Needham - Schroeder ) 열 쇠 교환규약 (제 12장 3절 3) 에 기 
원을 두고 있 다고 볼수 있 다. 암호화에 는 DES 와 갈은 대 칭암호화체 계 가 쓰이 고 있 다. 
사용자들은 이 름과 통과암호에 의하여 인증되 지 만 통과암호들은 망을 통하여 전송되 지 
않는다. Internet RFC 1510은 통신규약이 리행될수 없을 때 발생하는 오유통보문을 비 
롯하여 Kerberos Version 5 의 구체적 인 명세를 제공하고 있다. 고찰을 쉽게 하기 위 
하여 커베로스체계의 통보문에서 일부 자료마당을 생 략하고 통신규약이 성공적으로 완료 
된 경우만을 서술한다.편의상 기호들을 다음과 같이 나타낸다. 

사용자 A 의 비밀암호화열쇠 . 이것은 사용자 A 의 통과암호로부터 한 
방향알고리듬에 의하여 유도된다. KAS 는 K a 의 복사본을 가진다. 
TGS 와 KAS 에 의해 공유되 는 비 밀 열쇠 
봉사기 B 와 TGS 가 공유하는 비밀열쇠 

A 와 TGS 사이 에 서 리 용하기 위 하여 KAS 에 의 하여 창조된 대 화열 쇠 
A 와 B 사이 에서 리 용하기 위 하여 TGS 에 의 하여 창조되 는 대 화열쇠 
꼬열쇠밑에서 암호화된 자료파케트 X 
응답공격 을 막기 위한 림 시 값(우연도전) 

입장표의 유효기간(수명) 

입장표 또는 인증자의 창조시간 

A 가 TGS 에 서 사용하기 위 해 KAS 에 의하여 창조된 입 장표 
A 가 B 에 서 사용하기 위해 TGS 에 의하여 창조된 입 장표 


Ka- 


K , gs - 

K b ： 

K a }. 

eK(X): 


N1 ， N2: 

I」2 ,L 2 '■ 

Ti, T 2 , T 3 , 7V 
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그림 10-1 은 의뢰기 A 가 봉사기 B 에 접근하여 A 와 요사이의 호상인증을 수립 하기 
위하여 설정해 야 할 단계 를 보여 준다. 



6 


그림 10-1. 커베로스인증규약 


통보문 (1) A^KAS A ， TGS ， L h Ni 

통보문 ⑵ KAS^A eK a ( TGS , K a , tgs . Ticket 뼤 丄 ’ N x ) 

통보문 (3) A 수 TGS A , B , U , N 2 , T \ ck . et a , tgs , eK aJgs ( A ， T 3 ) 

통보문 (4) TGS 나 A eK a , lgs (B,K a , b , Ticket^^) 

통보문 (5) A^B eK a _ b ( A ， Td , Ticket ^ 

통보문 (6) B—A eK a , b (T 4 ) 

대 화를 시 작하기 위 하여 사용자 A 는 국부주마디 에 가입 하여 사용자이 름과 통과암호 
를 입력하고 입장표수여봉사기의 봉사를 요구한다. 그다음 A 의 신원， TGS 의 이름，요구 
된 입 장표의 유효기 간，림 시 값들이 들어 있는 통보문 (1) 을 평 문 ( cleartext ) 으로 KAS 에 
전송한다. KAS 는 대 화열 쇠 와 다음과 갈은 입 장표를 발생한다. 

Ticket 次，，玄‘ y - cKtg S (.K a< tgs>A, T\,L\} 

대화열쇠，입 장표，림시 값 M 는 A 의 비밀열쇠 成 i 에 의하여 암호화되 여 통보문 (2) 로 
A 에 돌려 진다. A 의 주마디에서 통과암호로부터 尺ᄆ를 다시 구성하고 대화열쇠 K 대以를 
엄는다. 이때 의뢰기 A 는 인증자 포이 C 4, r 3 ) 을 창조하여 인증자，입장표，요청된 유효기 
간 사，림시값 尺 2 ,봉사기의 이름을 통보문 (3) 으로 TGS 에 보낸다. 

TGS 는 K tgs 를 리용하여 입장표를 복호하고 국부시계에서 입장표가 유효한가를 확인 
한다. 그다음 TGS 는 표로부터 오는 모열쇠 를 리용하여 인증자를 검 사한다. 모든 확 
인 이 잘되 여 가면 TGS 는 대 화열 쇠 K a , b k 다음의 입 장표를 생 성한다. 

Ticket ， eK b {.Ka,b,A x ,T 2 ,Lo) 

통보문 (4) 에서 대 화열쇠 모^와 Ticket ᅪ는 A 에 보내지 며 이 대 화열쇠 가 주어 진 조 
건에서 암호화된 A 는 TGS 와 공유한다. 의뢰기 A 는 이 암호화된 입장표를 기억하고 새 
토운 대화열쇠 K a , b 를 복호한다. 통보문 (5) 에서 A 는 요에 대화가 인증되 였는가를 물어 본 
다. 이 통보문은 Ticket ^ 와 대화열쇠 에 의하여 구성된 새로운 인증자를 포함하고 
있다. 요는 입장표를 복호하고 그의 유효々을 검사한후에 대화열쇠 K 的를 엄는다. 그다 
음 B 는 K 내로 인증자를 복호한다. 복호가 성공하고 시간이 확인되면 S 는 곧 통보문 (6) 
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에서 대화열쇠에 의하여 수신되고 암호화된 마지막시간도장으로 응답한다. A 는 시간도 
장을 복호하고 그것 을 자기 의 T 4 복사본과 비 교한다. 만일 일 치하면 B 는 인증되 였 다. 

취소 

당사자로부터 어떻게 하면 접근권한을 취소할수 있는가? KAS 와 TGS 의 체계관리자 
는 접 근권한이 더 는 당사자들에 쓰이 지 않도록 하기 위하여 자기 의 자료기 지 들을 갱 신하 
지 않으면 안된다. 이 와 같이 접 근권한은 당사자가 체계 에 가입하거 나 TGS 로부터 입 장 
표를 요구하는 다음번의 대 화를 위하여 취 소되 였 다. 그러 나 당사자가 이 미 점 유한 입 장 
표들은 만기 가 될 때 까지 는 유효하다. 례하면 KAS 의 입 장표들의 수명 은 대체 로 하루인 
데 이것은 다른 한가지 TOCTTOUI 제의 실례로 된다. 

편리 성 과 보안의 관계 는 이률배 반관계 에 놓이 게 된다. 만일 TGS 가 유효기 간이 긴 
입 장표를 내보낸다면 당사자는 TGS 에 자주 접근할 필요가 없고 TGS 는 사용자들에게 
지 나치 게 큰 영 향을 주지 않는 조건에 서 경 우에 따라 비직 결상태 로 될 수 있 다. 그러 나 
접 근권한을 포기하면 지 연이 더 길 어 지게 된다. 만일 TGS 가 수명 이 짧은 입 장표를 내 
보낸다면 당사자들은 보다 일정한 기 간마다 자기의 입 장표를 갱 신하여 야 하므로 보안봉 
사기의 리 용성 은 체 계의 성 능을 위하여 보다 중요한 문제 로 된다. 

지역 

커베 로스인증봉사기 는 커베 로스지 역 의 중심 부에 위 치한다. 커 베토스지역 이 란 봉사기 
집 합에 로의 접근을 조종하는 단일한 행정 령역을 말한다. 커베토스가 기동하자면 당사자 
들은 KAS 에 의하여 등록되 여 야 하며 TGS 는 접 근조종정 보를 수신하여 야 하며 모든 필 
요한 열쇠 들이 보안관리자에 의 하여 제 자리 에 놓여 있 어 야 한다. 커 베 로스는 집 중보안체 
계 가 가지 는 우점 을 다 가지 고 있 다. 제 한된 보안봉사기 에 의하여 유일 한 보안방책 이 리 
행되게 된다. 체계설정이 보안방책에 따른다는것을 검사한 다음 필요하다면 변경들을 실 
현하는것 은 비 교적 쉽다. 

커 베 로스지 역 들사이 의 접 근이 가능하게 되 면 지 역 들의 계충을 창조할수 있 다. 이 때 
서로 다른 대화열쇠들이 인증봉사기의 《련결사슬》을 따라 쌍으로 교체되므로 인증수속 
과정에 품이 증가하게 된다. 

요약 

커베토스를 완전히 평 가하기 위 해서는 문제의 범위를 벗 어 나 인증규약과 구체적 인 
암호화알고리 듬의 강도에 대 한 분석 을 하여 야 한다. 또한 그의 비암호화적 보안특징 을 검 
토하여야 한다. 아래에 이러한 연구에서 제기되는 문제들중 일부를 주었다. 

• 통보문의 적시성 ( timeliness ) 을 시간도장 ( timestamp ) 으로 검사한다. 따라서 체계전 
반에 합리적 인 동기화박자가 필요하며 박자 그자체는 공격 으로부터 보호되 여 야 한다. 
박자동기화를 보호하는 그자체가 인증을 요구할수 있다. 

• 시간도장을 검사할 때 일부 박자가 일치되지 않아도 된다. 대표적인 5분간의 접수창 
은 길 다고 볼수 있 으므로 응답공격 에 의하여 쉽 게 리 용 당할수 있 다. 

• 봉사기들은 직결식이여야 한다. KAS 는 가입시 직결식으로 되여야 하지만 TGS 는 
입장표를 요구하는 시각에 필요하게 된다. TGS 의 리용성에 대한 요구는 우에서 본 
바와 같이 완화시킬수 있다. 
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• 대화열쇠 (대 칭 암호화장치 에서 ) 들은 커 베 토스봉사기 (인증 및 입 장표수여 봉사기 ) 에 의 
하여 발생된다. 대화열쇠들이 당사자들의 통신에서 리용되기때문에 봉사기의 믿음성 
에는 도청능력 이 부정적으로 사용되지 않는다는 신용을 포함시켜야 한다. 

• 커 베 토스는 특권의 위 임 (입 장표)문제 를 취 급하지 않는다. 

• 통과암호의 추측과 통과암호의 기만공격 이 가능하다. 

• 열쇠들과 입장표들은 의뢰기의 기계에 보관된다. 그러므로 커베로스보안을 위한 마 
더 에 있는 보호기구만 믿을수 있다. 커베로스사용자가 단순한 말단에서 작업 하는 경 
우에는 그리 큰 문제로 되지 않지만 PC 나 다중사용자워크스테이션에서 커베로스가 
동작하는 경우에는 사정 이 달라 진다. 

• 규약의 보안 그자체를 실현의 보안과 구별해 보는것이 중요하다. 실례로 Kerberos 
Version 4 에서는 열쇠의 발생 에 약한 우연수발생 기를 리용하였으므로 완전탐색 방법 
을 적용하면 열쇠들을 쉽게 알아 낼수 있다. 

2. DSSA/SPX 

SPX 는 디지털이큐이프먼트사 (Digital Equipment Corporation ) 에서 개발한 분산체 
계 보안구성 방식 ( DSSA ) 의 한부분이 다. DSSA 는 워 크스테 이 션으로 이 루어 진 망을 위한 
보안구성 방식으로서 인증과 다른 보호수단들이 동시에 포함되 여 있다[116,151， 160]. 매 
개 마디 는 자기 의 보안방책 을 리행한다. 사용자들은 자기 들이 가입한 매 개 마디 우에 있 
는 조작체계를 믿어야 한다. 따라서 사용자들이 지금 사용하고 있는 마디들에 특권을 위 
임한다는 주장이 정당하다고 볼수 있다. DSSA / SPX 는 Internet RFC 1507으로서 채택 
된 분산인증보안봉사방식 으로 되 였 다. 

SPX 에 서 의 인증체 계 는 당사자의 이 름과 장기 비 공개 열 쇠 가 들어 있 는 신 임 장과 당사 
자의 이 름을 공개열쇠 와 결 합하는 보증서 그리 고 인증통표로 이 루어 져 있다. 신임 장 
( credential ) 은 SPX 안에 있는 사용자를 대표한다. 신임장은 봉사기 에 기 억될수 있으며 
사용자통과암호가 초기화될것을 요구할수 있다. 또한 신임장은 사용자가 가지고 다니는 
지능카드에 보관될수도 있다. 대화과정에 사용자의 초기등록과 인증은 서로 다른 봉사기 
에 의하여 진행된다. 

• 보중권 ( CA ): 공개열쇠보증서 를 내 보내 며 비직 결로 처 리할수 있다. 유효한 보증서 
를 내기 위하여서는 CA 의 믿음을 받아야 한다. 

• 보중서 배 포웬 터 ( CDC ): CA 에 서 나오는 보증서 들을 보관한다. 이 름지 정 봉사에 의 하여 
CDC 의 기능을 제공 받을수 있다. CDC 는 인증기간에는 직결처리되여야 한다. 

CDC 는 인증규약의 보안을 약화시킬수 없다. 무효인 보증서를 내는 경우에는 규약 
은 오유로 끝나게 될것이며 이런 측면에서 CDC 를 믿어서는 안되지만 인증봉사의 리용 
가능성에 있어서는 CDC 가 결정적이다. 실제적으로 실현할 때 CDC 를 분배 받을수 있다. 
보증서취 소목록을 보관하거 나 CDC 자료기 지 에서 오는 보증서 를 삭제 함으로써 보증서를 
취 소할수 있는데 이 경 우 CDC 는 틀림 없 이 보증서 를 정 확히 삭제한다. 만일 보증서 를 
직 결 처 리할것 을 CDC 가 요구하지 않는다면 보증서 는 만기 가 될 때 까지 유효하게 되 므로 
개별적 인 마디에서 접근권한을 취소할수 있다. SPX 의 약속기호는 다음과 갈다. 

• S p : 당사자 P 의 비공개서명열쇠， 

• Pa ， s a : A 의 장기 공개 열 쇠 와 장기 비 공개 열 쇠 , 

• P a ', S a ' : A 의 단기공개열쇠，단기비 공개열쇠， A 가 가입 될 때 창조된다. 
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• K a , b : A 와 B 사이 의 사용을 위하여 대 칭 암호화알고리 듬을 씨 서 A 에 의하여 창조된 
대화열쇠， 

• eK(X) : 열쇠 포가 주어 진 조건에 서 암호화된 자료파케 트 X ， 

• sK(X) : 열쇠 꼬에 의 하여 발생 된 자료파케 트 표의 수자식서 명 . 표기 를 간단히 하기 
위하여 서명을 보낼 때마다 이미 서명한 자료가 통보문에 있다고 가정한다. 그렇기 
때 문에 sK(X) 는 표와 X 우에 서 의 서 명 을 의 미 한다. 

• T ： 시 간도장， 

• L c ,L t ： 보증서나 입장표의 유효기간. 

여기서 공개열쇠들은 암호화와 서명확인에 쓰이지만 비공개열쇠들은 복호화와 서명 
에 쓰인다. 그러나 실제적인 체계에서 표기는 복잡하다. 단기공개열쇠/비공개열쇠쌍은 
장기열쇠 쌍의 지 나친 로출을 피 하기 위하여 쓰이 고 있 다. 새 로운 신임 장을 창조하고 사 
용자신원을 단기비공개열쇠에 결합하면 위임 이 실현될수 있다. 단기비공개 열쇠는 사용자 
가 호출하고 있는 봉사에 적용될수 있도록 되여야 한다. 

당사자 A 와 요사이의 호상인증과정 을 그림 10-2 에서 보여 주었다. 公 l a 가 내 보내는 당 
사자 요의 보증서는 A 에 의 하여 신용 받는 보증권으로서 다음과 같은 형태로 표시된다. 



보증서 ( B ， C 4 a )= sS c 加 ( C 4 fl , B, L c , _ 

이때 통보문들은 다음과 갈은 순서로 교환된다 [151]. 


통보문 (1) A^CDC ： 
동보문 (2) CDC^-A • 
동보문 (3) 

통보문 (4) B^CDC ： 
동보문 (5) CDC 수 B'. 
동보문 (6) B 세 


公 

보증서 (B, CA a ) 

A, eK a , b (T, A), sS a (L„ A, P a '), eP b (K a ， b ), eK a , b (S a ') 
A 

보증서 (A, CA b ) 
eK aib (T) 


통보문 (1) 에서 요청자 A 는 CDC 에 검증자 B 의 장기공개열쇠를 요구한다. 그러면 
CDC 는 통보문 (2) 에서 보증서가 B 의 신원을 공개열쇠 凡와 결합시키고 있다고 응답한다. 
공개 열 쇠 P b 는 CA a 의 공개 검 증열 쇠 를 리 용하고 있 는 A 에 의 하여 검 증된 다. 지 금 A 는 대 
화열 쇠 K aM 를 발생한다. 이 대 화열 쇠 는 인증자 e 포ᅪ ( r ， A ), A 의 단기공개열 쇠 / V 에 대 한 
서명입 장표 s 兄 ( L ,， 山/ V )，위 임 자 ePbiKa.b)^ eK ajb (S a ')^r 창조하는데 쓰인다. 만일 위 임 
권이 의도되지 않았다면 그대신에 위임자 모 ftfc )) 를 리용하여 열쇠 兄'가 公에 로출 

되지 않도륵 한다. 이 자료마당들은 통보문 (3) 에서 검증자에 보내진다. 
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통보문 (4) 와 통보문 (5) 에 서 검 증자는 CDC 로부터 오는 요청 자의 장기 공개열쇠 에 대 
한 보증서 를 검 색한다. 이 보증서 에 의 해 B 는 요청 자의 장기 공개열 쇠 代를 인증한다. B 
는 복호를 위 하여 자기의 장기비 공개열쇠 를 리 용하여 위 임 자중에서 대 화열쇠 꼬ᅪ를 검 색 
한다. 그다음 B 는 대 화열 쇠 를 리용하여 인증자를 복호하고 시 간도장을 자기 의 국부동기 
박자와 비 교한다. 다음에 요는 보증된 검 증열 쇠 凡를 리용하여 / V 을 포함하고 있는 입 장 
표 sS a (L„A, P a ') 에 대 한 서명 을 검사한다. 

최종적인 검사는 위임자의 형식에 관계된다. 위임자 eP 八成포ᅪ(公/)가 주어 진 
조건에서 검 증자는 S a '4r 검 색 하고 S a 와 7 V 이 적 합한 열쇠쌍이 라고 확신한다. 만일 위 
임 자 다/(化(及사))의 전송이 완료되 였 다면 검 증자는 / V 에 의하여 eP b (K a ,b)^ 대 한 서 명 
을 검 사한다. 검 사가 전부 성 공하였 다면 B 는 인증자 eK a , b 로 응답하면서 걸 음 (6) 에 서 
호상인증을 끝낸다. A 는 대 화열쇠 를 리용하여 인증자를 복호화하고 자기 한테 복사되 였 
는가를 확인한다. 

3. 개인용암호화주변장치 

커베 로스체계 에서 사용자들은 자기의 통과암호를 머 리속에 기 억하여 야 하며 응용봉사 
기들은 입장표수여봉사기와 공유하는 열쇠만을 필요로 하며 보호에 관계되는 기 타 모든 정 
보들은 불과 몇개의 중심봉사기에 보관되여 있다.그러나 DSSA 인 경우에는 사용자들은 비 
공개열쇠를 보유하여야 하며 보호에 관계되는 기타 대부분의 정보들은 국부적인 봉사기에 
의 하여 관리된다. 이때 중심봉사기들음 보증서들을 보관하는 보관소로만 된다. 

한걸음 더 나아가 보호에 관계되는 그밖의 정보를 분산시켜 사용자가 기억시키게 할 
수 있다. 사용자들은 지능카드나 PCMCIA 와 갈은 개인용암호주변장치들 ( PCS ) 을 휴대 
하고 다니면서 이것을 리용하여 임의의 마디로부터 분산체계에 접근할수도 있다. PCP 에 
는 사용자와 관련된 암호열쇠，접근조종파라메 터，암호화알고리듬의 실현방법들이 들어 
있을수 있다. 

포테 자 ( Fortezza ) 카드는 미 국방성 에 서 의 응용을 목적으로 개 발한 PCMCIA 카드로서 
이 방법을 설명하고 있다. 사용자가 카드를 내보이면 싸이트보안원은 이 카드를 사용자 
방식 으로 절환하기 전에 사용자의 비 공개열쇠 를 넣 는다. 이 카드는 PIN 기 구를 통하여 능 
동으로 된다. 포테자는 개별적인 사용자들이 자기들의 PCMCIA 카드에서 보안에 관계되 
는 조작을 함으로써 어떤 마디 에서나 안전하게 분산체계 에 접근할수 있도록 하고 있다. 


제3절. 보안 API 

분산체 계 보안을 위한 포괄적 인 구성 방식 들로 넘 어 가기 위 해서는 다음의 3가지 문제 
점들을 취급하여 야 한다. 

1. 분산체계에서 보안의 요구는 보통 순수한 인증을 초월하게 된다. 

2. 분산체 계 의 서 로 다른 요소들이 반드시 동일한 보안기 구를 리용하여 야 한다는 
법은 없다(이 장에서 이미 사용자인증에서 쓰이는 두가지 서로 다른 방식들을 
고찰하였다). 이때 보안은 다양한 보안기구우에서 실현되여야 한다. 

3. 사용자들과 응용프로그람작성자들은 반드시 보안전문가가 아니라도 된다. 비전 
문가들에게 보안봉사를 제공하는 방법을 찾아 내야 한다. 
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쏘프트웨어공학은 이 세가지 문제를 론의하기 위한 충분히 정립된 전략을 제기하고 
있다. 체계는 층으로 분해된다.응용프로그람대면부 ( API ) 는 어떤 층에 있는 어떤 응용프 
로그람이 층아래 에 있는 봉사를 호출할수 있게 한다.구체 적 인 실현부분을 은페 시 킴 으로 
써 API 는 실현방법이나 지어는 암호화알고리듬의 선정과 같은 보안특정의 과제로부터 
응용프로그람작성 자를 해 방하고 있 다. 요구되 는 보안에 대 한 전문지 식 소유정 도(보안지 식 ) 
는 API 보안을 비 교하기 위한 합리 적 인 기 준점 으로 된 다. 

1. GSS-API 

일반보안봉사 API (Generic Security Service API , GSS - API ) 는 원래 커베토스나 분 
산인증보안봉사 (Distributed Authentication Security Service , DASS ) 에 기 초하여 분 
산보안구성방식들사이의 이식성을 보장하기 위하여 만들어 졌다 . GSS-API 는 련결지향응 
용을 위한 보안봉사와 결합하기 쉬운 대면부를 제공한다. 이러한 봉사들은 어떤 범위의 
기 구들과 규약에 의하여 실 현될 수 있 으므로 여 러 환경 에 적 용할수 있도록 원천준위 에 서 
이 식 성 이 있 어 야 한다. GSS-API 설 계에 서 기 본목적 은 다음과 같다. 

• 기구독립성 : GSS-API 는 개 별적 인 장치 에 독립인 강한 인증 및 기 타 보안봉사와의 
대면부를 정의한다. 보안봉사들은 대칭열쇠암호화(실례로 커베로스) 또는 공개열쇠 
암호화 ( X 509) 로 실현될수 있다. 

• 규약환경독립성: GSS-API 는 리용된 통신규약에 관계 없으므로 넓은 범위의 규약환 
경에서 리용할수 있다. 

• 설 치 장소범 위 의 적 합성 : GSS-API 의 퇴 기 는 그것 이 동작하는 체 계 우에 서 결 정 되 는 
반드시 신용계 산기 지 ( TCB ) 둘레 안에 있 어 야 한다는 제 한은 없다. 

GSS-API 에 는 두가지 론리 적 부분 즉 보안봉사모임 과의 일 반적 대 면 (고유한 API ) 과 
보안봉사를 보장하는 기구의 모임 이 있다. 

GSS-API 특성과 개념 

전형적 인 GSS-API 호출자는 인증, 완정성 그리고(혹은) 기밀보안봉사와 자기의 통신 
방법 의 보호 또는 기 밀 보안봉사통신을 보호하기 위하여 GSS-API 봉사를 요구할 때 그자 
체가 통신규약으로 된다. 대면부는 국부체계에 상주하면서 서고를 통하여 GSS-API 의 접 
근을 보장한다. 대면부는 매개의 기구와 결합하면서 응용으로부터 보안기구의 세부를 숨 
기고 자료변환과 호출의 역할을 한다. GSS-API 의 기본적인 보안요소들은 신임장，통표, 
보안문맥，상태 코드들이다. 대 등망의 실체 를 인증하기 위하여 대등망실체 들사이의 보안 
문맥 을 초기 화하는 조작들은 통보문당자료원본인증 ( per-message data original 
autiientication ) 과 자료완정성 보호를 제공하는 조작들로 분리된다. 

보안봉사를 제공하는데 쓰이는 기구들은 매개 대화의 시작에서 선택되며 대화기간에 
는 고정되여 있게 된다. GSS-API 에 적용할수 있는 기구들은 선택에 영향을 준다. 여러 
개 의 기 구들이 쓰이 는 곳에 서 는 호출자가 선택목록을 가리킬수도 있다. 그렇 지 않으면 
기정기구가 선택된다. 

신임장 

신임장 ( credentia ) 에는 대등망실체가 서로 보안문맥을 설정할 때 요구되는 보안관련 
자료들이 있다.신임장의 구조는 아직 규격화된것이 없다. 신임장의 내용을 정의하는것은 
하위층에 남겨 두지만 서로 다른 기구가 동일한 구조를 사용할수도 있다.신임장은 응용 
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의 보안을 유지하기 위하여 기초에 놓이는 체계에 따라 적당히 조절되도록 되여 있어야 
한다.신임 장들은 GSS - API 의 호출변수가 아니 라 신임 장조종프로그람의 참조에 의하여 
넘겨 진다. 

통표 

GSS - API 호출자에 의하여 그의 대 면 호출에 공급되 는 자료들은 기 구특정 의 형 식 화된 
통표 ( token ) 들로 변환되게 된다. GSS - API 호출자는 국부 GSS - API 의 실현에 의하여 제 
공되는 이 통표들을 접수하고 이것을 원격체계우에 있는 대등망에로 전송한다. 이때 대 
등망은 처 리를 위하여 수신된 통표를 자기의 국부 GSS - API 실현에 넘겨 준다. 통표들은 
일반적으로 호출자에는 아무런 의미도 없으며 그의 특정형식은 리용되고 있는 개별적기 
구들에 상당히 의존한다. 

보안문맥 

보안문맥 (Security Contexts ) 은 보안봉사의 관리 에 관계 되 는 정 보를 반영 하고 있 다. 
보안문맥 은 신임 장을 리 용하는 대 등망들사이 에 설정된다.신임 장의 동일한 모임 또는 다 
른 모임을 사용할 때 한쌍의 대등망사이에는 여러개의 보안문맥이 동시에 존재할수도 있 
다. 여러가지 신임장들을 리용하는 여러개의 보안문맥이 공존하면 신임장의 유효기간이 
끝날 때 연장될수 있다. 

상태쿄드 

상태기발들은 어떠한 특징들이 필요한가를 가리킨다. 즉 mutual _ reg _ flag 는 호상인 
증이 요구된다는것을 나타낸다. 보안문맥의 초기화가 완전히 끝나지 않^다는것을 나타 
내는 상태코드 실례로 GSS _ ONTINUE _ NEEDED 에 의하여 보안문맥의 설정을 지원할 
수 있다. 대부분의 상태코드들은 기구에 무관계하지만 일부 코드들은 기초적 인 보안기구 
에 따라 달라 질수 있다. 이 상태정보는 보안에 관계되는 호출에 대하여 제한된 범위에 
서 인과적 인 검 사를 진행할수 있는 가능성 을 GSS - API 호출자에 게 주고 있 다. 호출자의 
과제 는 호출이 정 확한 보안문맥 에 서 발생 되 는가를 확인하는것 이 다. 관리 과제 와의 호출자 
련관의 확장을 보여 주기 위하여 RFC 2078에 서 술된 모든 기 본상태 되 돌림 값들의 목록 
은 다음과 갈다. 


GSS _ S _ BAD_BINDINGS 

GSS _ S _ BAD_NECH 

GSS _ S _ BAD_NAME 

GSS _ S _ BAD_NAMETYPE 

GSS _ S _ BAD_STATUS 

GSS _ S _ BAD_SIG 

GSS _ S _ CONTEXT_EXPIRED 

GSS _ S _ CREDENTIALS_EXPIRED 

GSS _ S _ DEFECTIVE_CREDENTIAL 

GSS _ S _ DEFECTIVE_TOKEN 

GSS _ S_FAILURE 

GSS _ S _ NO_CONTEXT 

GSS _ S _ NO_CRED 

GSS _ S _ BAD_QOP 


통로결합이 정합되지 않았다. 

요구한 기구가 지원되지 않았다. 

제공된 이름이 맞지 않는다. 

지원되지 않는 형의 이름이 제공되였다. 
입 력 상태 선택 기 가 무효이 다. 

통표의 완정성검사가 무효이 다. 

지적된 보안문맥의 유효기간이 끝났다. 
유효기 간이 지난 신임 장이 검 출되 였 다. 
결함 있는 신임장이 검출되였다. 

결함 있는 통표가 검출되였다. 

GSS - API 준위에서 서술되지 않은 고장. 
지적된 보안문맥이 무효이다. 

제공된 신임장이 무효이다. 

QOP 값이 지원되지 않았다. 
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GSS _ S_UNAUTHORIZED 

GSS _ S_UNAVAILABLE 

GSS _ S _ DUPLICATE_ELEMENT 

GSS _ S _ NAME _ NOT_MN 

GSS _ S_COMPLETE 

GSS _ S _ CONTINUE_NEEDED 

GSS _ S _ DUPLICATE_TOKEN 

GSS _ S _ OLU_TOKEN 

GSS _ S _ UNSEQ_TOKEN 

GSS _ S _ GAP_TOKEN 


조작에 권한이 주어 지지 않았다. 

조작이 해당되지 않는다. 

2중화된 신임장요소를 요구하였다. 

이름에 다중기구요소가 있다. 

정상으로 완료되였다. 

루린호출을 계속 요구한다. 

2중화된 통보문당 통표가 검출되였다. 

시 간초과된 통보문당 통표가 검출되 였다. 
재순서화된 통보문당 통표가 검출되였다. 
건너뛰 기한 선행통표가 검 출되 였다. 


대면부서술 

호출에는 4가지 형태가 있다. 

• 신임 장관리호출: 이것은 당사자가 신임 장을 획득하였 다가 해 방하고 다양한 신임 장정 
보를 질문할수 있게 한다. 

• 문맥준위 호출 ( context-level call ) : 이것은 문맥의 초기화,접수，삭제를 위 하여 또한 
문맥의 유효시 간을 결정 하고 문맥의 통표를 처 리 하기 위 하여 쓰인다. 

• 단위통보문 ( per - message ) 호출: 이것은 암호의 완정성과 기밀보호를 제공한다. 

• 지원호출: 이것은 실례로 할당된 기억기를 해방하고 이름을 비교하는것과 갈은 일반 
적 인 정 리 작업 ( housekeeping ) 및 지 원루린을 위 하여 쓰인 다. 


RFC -2078 에서 정의된 GSS - API 호출은 모두 다음과 같다. 


신임장관리호출 : 

GSS _ Acquire_cred 

GSS _ Release_cred 

GSS _ Inquire_cred 

GSS _ Add_cred 

GSS _ Inquire _ cred _ by_mech 


사용을 위 하여 신임 장을 획득한다. 
사용후에 신임장을 해 방한다. 
신임장에 대한 정보를 현시한다. 

신임 장을 증가하는 순서 로 구성 한다. 
단위 기 구신 임 장정 보를 현시 한다. 


문맥준위호출 : 

GSS _ Init _ sec_context 

GSS _ Accept _ sec_context 

GSS _ Delete _ sec_context 

GSS _ Process _ context_token 

GSS _ Context_time 

GSS _ Inquire_context 

GSS_W rap _ size_limit 

GSS _ Export _ sec_context 

GSS _ Import _ sec_context 


범위를 벗어 나는 보안문맥을 시동한다. 

범 위 안에 있는 보안문맥 을 접 수한다. 

더는 필요되지 않을 때에 문맥을 닫는다 ( flush ). 
문맥 에 관한 수신된 조종통표를 처 리 한다. 

문맥에 남아 있는 유효시간을 나타낸다. 

문맥의 정보를 현시한다. 

GSS _ Wrap 통표크기의 한계를 결정 한다. 

문맥을 다른 처리로 전송한다. 

전송된 문맥을 받아 들인다. 


단위 통보문호출: 

GSS_GetMIC 완정 성 검 사를 적 용하여 통보문에 서 분리 된 통표로 

수신한다. 

통보문과 함께 완정성검사통표를 유효하게 한다. 


GSS_VerifyMIC 
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GSS_wrap 


서명을 선택권에 따라 암호화하고 밀봉한다. 
밀봉을 해제하고 필요하다면 복호하고 완정성검사 
를 유효하게 한다. 


지원호출 



상태코드들을 인쇄할수 있는 형태로 변환한다. 
국부체계우에서 지원된 mech _ type 를 나타낸다. 


2. API 와 보안 

보안봉사가 효과적으로 되자면 해당한 보안기구를 합리적으로 실현할뿐아니라 보안 
관리도 합리적으로 하여야 한다. 보안봉사가 암호화를 리용할 때에 열쇠관리는 보안관리 
의 중요한 부분으로 된다. 그러나 열쇠관리는 보통 봉사요구를 처리하고 있는 기간에 실 
행되는 과제가 아니라 봉사요구가 실행되기전에 처리되는 과제이다. 이것은 그림 10-3 에 
서 보여 준 IBM 보안구성 방식에 반영되며 보안관리가 모형의 다른 층과 직교되게 놓여 
있는 별개의 문제와 같이 보인다. 

물론 보안관리가 이 모형에서 모든 층에 관계된다는것은 사실이다. 설계자들이 열쇠 
관리의 이 측면을 무시하는 경우 문제 가 생 기지만 보안에 대 한 지식 이 없는 응용프로그 
람작성 자들이 보안에 신경을 쓰지 않기를 기대할 때 에는 계층적인 설계전략에 따르게 된 
다. 이를 위 하여 열쇠관리 기능을 가르고 응용대상의 책 임 범위내 에서 부분별 과제 를 명 백 
히 나타내 야 한다. 열쇠관리 에서 고려할 인자들은 많으며 적 어도 다음의 4가지를 반드시 
고려하여 야 한다. 


• 열쇠 기억기 

• 열쇠전송 

• 열쇠사용 



그림 10-3. IBM 보안구성방식 


마지 막항목은 열 쇠 가 한가지 목적 에 만 사용되 여 야 한다는것 을 의 미 한다. 실 례 로 
수자식서명 을 발생하거 나 이것 을 확증하는데 쓰일수 있지 만 절대 로 두가지를 동시 에 
쓸수 없다. 이러한 응용들은 재정분야에 널리 도입되였으며 실례로 IBM 조종벡토르나 
꼬리 표 붙은 열쇠 에 의하여 지 원되 지 만 전통적 인 조작체 계보안에 서 API 들은 이 문제 
를 무시한다. 

물론 열쇠관리를 특별히 간단하게 하는 보안대면부의 위치는 두 곳이다. 
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1. 열쇠관리는 대면부우에 있는 층에 전적으로 맡긴다. 아래층에는 요구하는 과제 
에 해당한 열쇠들이 주어 진다고 가정한다. 

2. 열쇠관리는 대면부아래에 있는 층에 전적으로 맡긴다. 웃층에서는 그 어떤 열쇠 
관리조작도 하지 않는다. 

주어 진 열쇠와 자료에 대하여 암호화조작을 실행하기만 하는 아주 간단한 암호화모 
둘 ( CM ) 은 첫번째 부류의 대면부를 통하여 접근될수 있다. 암호화모둘은 열쇠들이 잘못 
쓰이지 않도록 하고 보안에 관한 자료의 인증을 담보하기 위하여서는 웃층에 의존하여야 
한다. 

응용프로그람작성 자들이 보안전문가가 아니 므로 보안관리 에 될수록 적 게 참여하여 야 
한다고 가정하면 두번째 부류의 대면부가 더 좋을것 이 다. 맨 웃준위의 대면부아래에 있 
는 층에서는 보다 많은 암호화알고리듬을 실현할수 있다. 

그러면 GSS - API 는 이 구성에서 어디에 적합한가? 단위통보문호출의 점에서 볼 때 
GSS - API 는 높은 준위 의 대 면부이다. 보안관리 의 측면 에 서 GSS - API 는 비 교적 낮은 곳 
에 만 있 으나 그래 도 높은 준위 에 있 다고 볼수 있 다. GSS - API 는 낮은 층에 의 거하여 대 
부분의 열 쇠 관리자료들을 정 의 하고 보호한다. 그러 나 일부 보안관리과제 는 응용프로그람 
작성 자에 의하여 실현되 여 야 하므로 호출자에 게 그 권한을 대부분 남겨 두었 다. 보안관 
리의 특징을 계속 증가시키면 GSS - API 의 관리측에서 추상화준위가 이 러저 러하게 《 약 
해 진다》는 위험이 있을수 있다. 실제로 GSS-API 의 계속되는 공개관들에서는 관리호 
출의 수가 안전하게 증가되였다. 


제4절. CORBA 보안 

GSS - API 는 보안봉사모임의 대면부이다. 분산체계 에서 이 봉사층이 야말로 보안시 행 
을 위 한 가장 적 합한 위 치 로 된 다. 

첫째 로 분산체 계 들은 각이한 조작체 계 와 다양한 하드웨 어구성 방식 들을 결 합하게 한 
다. 물론 조작체계설계자들이 보안시행에 대한 공통적인 규격화에 동의한다면 더 론의할 
필요는 없다. 따라서 사용자들에게 균일한 보안대면부를 제시하기 위하여서는 그것을 조 
작체계우에 놓아야 한다. 

둘째 로 보안을 요구하는 응용쏘프트웨어를 고찰하자. 보안을 진행 하기 위 해서는 이 
응용이 어 떤 방법 으로 조작체 계 와 호상작용하지 않으면 안된다. 응용프로그람작성 자가 
여 러 가지 다른 조작체계들을 대상하는 경우에는 성공전망이 다시 어두워 진다. 응용프로 
그람작성자들에게 밑에 놓이는 조작체계들의 대면부를 제공하는 중간층을 제시하면 해결 
될수 있다. 객체요청중개자 ( ORB ) 는 사용자와 객체들사이 또는 객체들사이의 호상작용 
을 조종한다. 

아래와 우에로의 선택을 제한하면 그림 10-4 에서 보여 준 해결방도에 도달할수 있다. 
보안봉사들은 응용층과 조작체계의 사이에 있으면서 분산체계의 전체 구성요소들과 관계 
되는 공동층을 제공한다. 

1. 객체요청중개자 

만일 독자들이 보다 큰 어떤 조직의 IT 체계를 조사할 기회를 가진다면 아마도 IT 체 
계가 사용자들의 요구의 변화에 맞게 부단히 새로운 응용프로그람들을 첨부하면서 오랜 
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세월에 걸쳐 구축되였다는것을 알게 될것이다. 대부분 이러한 응용프로그람들은 기종이 
다른 하드웨 어 와 쏘프트웨 어 기 동환경 ( platform ) 을 대 상으로 서 로 다른 자료형 식 으로 각 
이한 언어로 작성되여 있으므로 응용프로그람들사이의 자료를 공유하는것은 결코 간단한 
문제가 아니며 흔히 전용쏘프트웨 어가 필요하게 된다. 자료가 기관들사이에서 공유된다 
면 보다 큰 규모에서도 같은 문제가 제기된다. 


응용층 


응용층 

봉사 


봉사 

조작체 계 


조작체 계 

OS 핵심부 

OS 핵심부 

하드웨 어 

하드웨 어 


그림 10-4. 분산체계의 보안 

분산객체콤퓨터작업은 이러한 환경을 해결하여 응용의 호상조작성을 개선하려고 시 
도하고 있다. 분산객체계산은 의뢰기-봉사기모형과 같은 분산를퓨터작업에 대한 개념과 
객체지향콤퓨터작업의 개념에 기초하여 구축되였다. 응용은 객체로 생각할수 있다. 객체 
는 속성과 방법을 가지며 객체의 속성은 객체의 방법으로만 조작될수 있다. 객체요청중 
개기는 대상들의 모든 통신을 조종하는 의뢰기와 봉사기객체들사이에 놓여 있는《쏘프 
트 웨 어 모 선》이 다 . 공 동 객 체 중 개 기 구 성 방 석 (Common Object Request Broker 
Architecture ： CORBA ) 은 객 체 관리 그룹 (Object Management Group ) 에 의 하여 개 발 
되였으며 그러한 구성방식에 대한 공업규격화의 규격으로 되고 있다 [61]. * 

그림 10-5 는 분산객체를퓨터작업의 특징을 보여 준다. 응용은 의뢰기와 봉사기에 분 
산되 여 있 다. 의 뢰 기 에서 대 용체 ( stub ) 와 봉사기 에 서 골격 ( skelton ) 은 응용과 ORB 서 고 
사이의 대면부를 제공한다. 의뢰기의 응용이 봉사기의 방법을 호출하게 될 때 다음의 순 
서로 사건이 발생한다. 

1. 의뢰기에서 방법호출은 자기의 응용대용체를 통하여 ORB 기능을 불러 낸다. 

2. 의뢰기에서 ORB 서고는 활성화요소에 요구를 보내여 대상의 결합을 초기화한다. 

3. 활성화요소는 방법호출에 의하여 주소화된 객체의 참조를 보관소로부터 검색한 
다. 

4. 활성화요소는 봉사기에 있는 객체에 착수한다. 

5. ORB 서고들은 객체의 참조를 의뢰기에로 되돌린다. 

6. 방법의 호출이 실행된다. 

ORB 서 고에 는 객 체봉사가 들어 있 다. 객 체봉사의 제 안된 목록을 아래 에 서 전부 보 
여 주었는데 (원고를 작성할 때까지는 실현된것이 몇개에 불과하였다.) 여기서 보여 준 
봉사이름들을 보고 그 기능을 충분히 알수 있으리라고 본다. 

• 이름봉사 (naming service ) 

• 사건봉사 (event service ) 

• 거래 봉사 (transaction service ) 
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• 지 속객 체 봉사 (persistence object service ) 

• 생명주기 봉사 (lifecycle service ) 

• 특허 봉사 (licensing service ) 

• 병행 조종봉사 (concurrency control service ) 

• 시간봉사 (time service ) 

• 외부봉사 (externalization service ) 

• 질문봉사 (querying service ) 

• 관계 봉사 (relationship service ) 

• 속성 봉사 (property service ) 

• 보안봉사 (security service ) 

• 무역봉사 (trading service ) 

• 수집 봉사 (collection service ) 



그림 10-5. CORBA 의 방법호출 


2. C 0 RBA 보안모령 

CORBA 보안구성방식설계자들이 대상으로 한 과제를 평가하기 위해서는 그 기본설 
계의 난문제들을 알아야 한다. 유연성과 호상조작성은 서로 상반되는 문제이다. 
CORBA 는 폭 넓은 응용과 보안방책을 지원하는데 유연하여야 한다. CORBA 는 또한 보 
호령역사이의 호상조작을 허용하는 틀거리도 제공하려고 한다. 호상조작성은 의견이 일 
치하여야 한다. 어떠한 형태의 규격화에 기초하여 동의가 이루어 져야 하는데 규격화는 
그 본질상 유연성을 제 한하고 있다. CORBA 는 보안봉사를 실현하고 관리 하기 위 한 틀 
거 리 를 제 공하지 만 개 별적 인 보안기 구들을 규정 하지 는 못한다. 

CORBA 보안은 부단히 변화되는 환경에서 관리되여야 한다. 분산객체들은 언제나 
창조, 삭제，변경되므로 객체들사이의 호상작용은 복잡할수 있다. 일부 응용들에서는 자 
기에게 필요한 보호를 명백히 요구하기때문에 보안에 빈틈이 없지만 반대로 보안에 빈름 
이 있는 응용에서는 어떤 수단을 써서라도 응용과 련관시키지 않고 보안을 실현하여야 
한다. 봉사를 요구할 때 객 체 들은 특권을 위 임하여 야 하므로 방책 들은 접 근권한의 위 임 
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한계를 제한할수 있다. 실례로 어떤 방책에서는 목표객체의 특권을 그의 유효기간이나 
특권이 호출될수 있는 회수에 위 임 할수도 있다고 제정하고 있다. 

보호에 대 한 요구가 비슷한 객 체 들은 령역 으로 분류된다. 령 역보안방책 은 ORB 에 
의하여 리 행된다. CORBA 에 는 접 근조종은 물론 방책객체 를 관리 하기 위한 대 면부들이 
포함되여 있다. CORBA 는 특정의 방책들을 대상으로 하지 않는다. 

ORB 사이 의 호상조작성 은 다리 , 관문 그리 고 General-Inter-ORB Protocol 
(GIOP) 과 Internet Inter-ORB Protocol (HOP) 에 서 처 럼 내 부 ORB 규 약들에 의 하여 공 
학적준위에서 지원될것이다. SECIOP 는 보안내부 ORB 규약이다. 호상조작성문제는 취급 
하기 힘들므로 이 책을 쓸 때까지는 실제적으로 실현된 ORB 다리는 없었다. 호상조작성 
은 또한 령역 사이 의 방책 이 일 치할것 을 요구하고 있 다. 다음과 같은 표준적 인 접 근권한 
의 모임이 있다. 

• get (얻기) 

• set (설정) 

• manage (관리) 


유연성 을 위하여 추가적 인 권한을 정 의 하기 위한 선택 항목도 있 다. CORBA 보안봉 
사에 다음과 갈은것들이 들어 있다. 

• 인증， 

• 보안문맥설정， 

• 인증화와 호출조종: ACL, 능력，역할에 기초한 접근조종， 

• 통보문보호:주로 암호화방법으로 실현하지만 다른 방법으로도 할수 있다. 

• 검열， 

• 비참가거부. 

이제부터 우의 봉사들에서 처음 두가지만을 간단히 고찰하자. 

3. 인증 

그림 10-6 은 CORBA 에서 인증방법을 보여 주고 있다. 처음에 사용자는 ORB 에 서 
명한다. 사용자주최 자 실례 로 등록가입프로그람은 사용자신분과 통과암호를 당사자인증 
기객체에 넘겨 준다(걸음 1). 그러면 당사자인증기객체는 신임장객체를 창조한다(걸음 
2). 이 신임장에는 인증된 신분，역할，특권과 갈은 사용자보안속성들이 들어 있다. 그 
다음에 사용자주최 자는 신임 장객 체 의 참조를 현재 의 실 행 문맥 을 반영 하는 Current 객 체 에 
넘겨 준다(걸음 3). 이제부터 사용자는 봉사를 호출하려고 한다(걸음 4). 

보안봉사들은 의뢰기객체와 봉사기객체사이 접근을 중개한다. 먼저 의뢰기와 봉사기 
사이에 보안련계 (결합)를 설정해 주어야 한다. 매개의 보안련계에서 의뢰기와 봉사기쪽 
에 Security Context 객체가 있다. 보안문맥에는 보통 객체가 리용하게 되는 암호화알 
고리듬과 암호화열쇠의 속성 이 있다. 

보안호출봉사는 이러한 련계가 이미 존재하는가를 검사하고 만일 보안련계를 새롭게 
설정하여 야 하는 경 우에는 도약봉사를 호출한다. Current 객체 로부터 오는 보안정 보는 
해당한 속성을 얻는 과정에 쓰이게 될것이다(걸음 5). 
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보안봉사와 그 작용은 보안을 모르는 응용으로부터 완전히 은폐된다. 

설정된 보안련계는 기타 보안봉사 실례로 접근조종에 의하여 리용될수 있다. 



그림 10-6. CORBA 에서의 인증 


4. 보안이 담보되는가 아니면 보안봉사가 담보되는가 

CORBA 는 보안을 담보한다고 약속하고 있지만 이것이 준수되고 있는가? 사실여부 
를 검토해 보자. CORBA 테두리에서 보안은 응용에 맡겨 두지 않았으므로 모든 요구들 
은 ORB 를 통과하여야 하며 ORB 는 보안조종을 응용한다. 만일 보안봉사들이 모두 적 당 
하게 설정되 여 있고 사용자들은 ORB 를 우회할 길이 없고 즉 조작체계를 간접적 으로 호 
출한다면 CORBA 는 보안을 완전히 담보한다. 

그러 나 CORBA 는 ORB 를 우회 할수 없으며 CORBA 의 보안봉사기 에 의 하여 리 용되 
는 자료가 적당히 보호된다는 담보는 없다. TCB 는 보안에 관계되는 정보들 실례로 암 
호열쇠 나 신임 장들을 언제 나 보관하는 모든 기계들에 대 한 조작체계와 하드웨 어들을 포 
함하고 있다. 이외에도 CORBA 에서 보안은 봉사에서 쓰이는 구체적인 보안기구의 강도 
에 의존한다. 이러한 체계들에서 강도가 조금이라도 약하면 ORB 아래에 있는 층으로 호 
출이 허용되므로 CORBA 보안을 약화시킬수 있다. 이런 의미에서 CORBA 는 결코 그 어 
떤 담보도 주지 못한다고 말할수 있다. 보안의 틀거리로부터 더는 기대를 가질수 없고 
또 기 대 하지 도 말아야 한다는것 이 공명정 대한 견해 로 된다. 

CORBA 는 분산대상체 계 에 대 한 명세 이다. 조직들은 이제 야 CORBA 와 CORBA 보 
안의 실현을 위한 조사에 겨 우 착수했을뿐이 다. CORBA 의 계 층화모형 에 서 올라 갈수록 
보안기 구를 완벽하게 실현하는것 은 더 힘 들어 진다. 바로 그렇 기 때 문에 제 작자들은 아주 
복잡한 과제 에 맞다들리 게 되 며 CORBA 보안기 능을 더 욱 높이 기 위하여 노력하게 될 것 
이다. CORBA 보안이 실제적으로 어느 정도로 담보를 줄수 있겠는가 하는 경험은 아직 
없다. 
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이 장의 문헌안내 


[83, 159] 는 분산체 계에서의 인증리 론과 실천을 구체 으로 고찰한 론문이 다.커 베 로스 
의 구체적인 사항에 대해서는 Internet RFC 1510[8이에서 고찰하였다.커베로스보안의 
해 석 과정 과 개 발된 환경 을 [15] 에 서 주었 다. 커 베토스에 로 확장할 때 Privilege 
Attribute Cerrificats ( PAC ) 에 의 한 자기 의 접 근조종특징 들을 SESAME [123] 또는 
OSF DCE 에서 구체 적 으로 론의되 였 다. 

크립토나이트 ( Kryptoknight ) 는 IBM 이 커베토스에 대응하여 개발한 체계이다. 커 
베 토스와 마찬가지 로 크립 토나이 트는 보안봉사가 인증과 열쇠분배 를 제 공하는《 중심 체 
계》이다. 크립토나이트에서 암호화규약은 암호화대신에 반출문제 (export problem ) 를 
피하기 위하여 완정성검사기능들을 리용하고 있다 K 0]. 

보안규약이 중심보안봉사기에 의존하며 이 봉사기에 응용될수 없다면 호출조종을 결 
정 하기 힘 들다. 그러 므로 호라스보안구성 방식 (Horus Security Architecture ) 에서 는 오 
유허 용한계 를 분산보안체 계 에 받아 들였 다. 보증서분배쎈 터우에 서 단일하여 야 한다는 엄 
격한 직결처 리의 요구를 피 하기 위 하여 여 러 가지 봉사기들의 증명서를 분배 하는데 비밀 
을 공유하는 방안이 쓰인다 [126]. 

GSS - API 는 1993년 9월에 Internet RFC 1509 로써 공개되였다. 수정판 2는 1997년 
1월에 RFC 2078로 공개되였다 [88]. 

CORBA 에 대 한 기초도서들과 구체적 인 사항，론문들은 다음의 주소에서 찾으면 
된 다. 

http ：// ww . omg . org 

http ：// www . acl . lanl . gov/CORBA 

[106] 과 [121] 를 참고하면 CORBA 들에 대 한 충분한 리해를 가질수 있다. 


련습문제 

1. 사용자신원에 기준한 접근조종방책들은 분산체계의 로화를 앞당긴다. 그래도 분산보 
안체계 에서의 접근조종방책 들은 사용자신원에 기초하여 야 하는가? 이 러한 방책들과 
다른 방책을 찾아 보시오. 분산체계에서 개별적인 사용자들은 언제 인증되는가? 

2. Lattic _ l 로부터 Lattic _2 에로 그리고 그 반대로 표식들을 변환하는 변환함수 心와 
T 2 을 정의 하시오(그림 10-7). Lattice _ l 을 리 용하는 체계 로부터 오는 주동체 또는객 
체들이 La 1; tice _2 를 리용하는 체계 에로 전송되며 따라서 아래방향에 로의 정보흐름이 
허 용되지 않는 3우에는 이 함수들이 적 용될것 이 다. 변환함수를 선택 하기 위 하여 항 
목들이 La 竹 ice _ l 로부터 Lattice _2 에로 전달되였다가 다시 La 竹 ice _ l 로 되돌아 왔다 
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면 항목들에 어떤 표식자가 불게 될것인가를 보여 주는 표를 구성하시오(수학적인 
용어로 표현하면 련결 ? 2 0 1' 1 를 계산하시오). Lattice _2 에서 초기에 표식 자가 붙 
은 항목과 같게 하시오. 


높要-- 




그림 10-7 


크립 토나이트 ( KryptoKnight ) 규약을 간단히 서술하고 커베 토스와 비 교하여 그의 우 
점과 결함을 이야기하시오 . 

령역들사이의 접근을 허용하는 확장된 커베토스를 설계하시오. 이러한 방안이 쉽게 
실현되자면 어떠한 관리적배렬이 있어야 하는가? 어떤 걸음들을 규약에 첨부해 주어 
야 하겠는가? 

보증서들은 보증취소목록 또는 직결식 취소봉사기들을 통하여 취소될수 있다. 사용자 
들이 자기의 증명서를 보관하는 개인용암호주변장치를 휴대하는 분산체계에서는 어 
느 방법이 더 좋다고 말할수 있는가? 

GSS - API 를 리 용하여 응용을 실 행 시 키 려 고 할 때 자기 의 체 계 에 어 떠 한 쏘프트웨 어 
요소들을 보충해 주어야 하겠는가? 

분산체계 에서 보안의 국부적 인 시 행을 반대하는 론거 로는 어떠한 원인들을 들수 있 
는가? 


177 



제 11 장. WWW 보안 


WWW 는 분산콤퓨터도입을 새로운 수준으로 올려 세웠다. 이동가능한 코드는 인 
터네트를 통하여 의뢰기에로 이동하여 의뢰기우에서 실행된다. 전자상업은 새로운 업 
무가능성을 약속하고 있다. 뜻밖에도 보안은 IT 분야에서 주되는 관심사로 되였다. 따 
라서 IT 체 계 를 리용하고 있는 방법 에 서 상당한 변화가 있는 정 황속에 있는 자신을 다 
시한번 발견하게 된다. 다음과 갈은 물음들이 제기된다. 

• 낡은 보안구성방식들이 계속 적합한가 아니면 새로운 방책들과 새로운 시행기구들 
이 필요한가? 

• 보안을 고려하지 않고 설계되 였던 IT 체 계 에서 보안의 토대를 어떻게 마련할수 있 
겠 는가? 

이 장에서는 WWW 보안에서 제기되는 주요문제들을 간단히 고찰한다. 


목적 

• Web 를퓨터작업의 일련의 측면들이 어떻게 되여 새로운 보호요구로 되였는가를 인 
식 한다. 

• 다종다양한 보호문제 가 있다는것을 리 해 한다. 

• 오늘날 이 문제들을 해결하는데 쓰이는 기구들을 개괄한다. 

• 지적소유권의 보호를 둘러 싸고 있는 문제점들을 간단히 고찰한다. 


제1절. 배경 

WWW 는 규모가 방대해 져 압도적 인 수를 이 루는 보안문맹 자들이 새 로운 콤퓨터 
기술과 직접적 으로 접 촉할수 있게 하였다. 초기 에 분산체 계 응용은 의뢰 기 -봉사기 모형 에 
기초하였다. 의뢰기가 봉사기에서 계산을 진행하려고 하면 봉사기는 자신을 보호하기 
위하여 의뢰기를 인증한다. 이러한 방법으로 제공되는 봉사의 수가 그리 많지 않았기 
때문에 봉사에서 보안의 결함을 결과적으로 제거해 버릴수 있게 되였다. 

정황은 어떻게 변화되였는가? 초기에 WWW 는 본문，도형，음성 등이 들어 있는 
하이 퍼 본문문서 를 창조하고 처 리 하기 위 한 규격 화를 제 공하였 다. 하이 퍼 본문문서 
(hypertext document ) 를 작성하기 위 한 초기의 규격화가 HTML (HyperText 
Mark-up Language ) 언어이 라면 대응하는 전송규약은 HTTP (HyperText Transfer 
Protocol , Internel RFC 1945) 이다. 하이퍼본문의 특징들은 사용자들이 정보(내용)를 
검 색 하게 하는 새 로운 응용에서 는 인기 가 있었 다. 신문란，려 행 시 간표 또는 려 행안내 
도와 갈은 려 행 정 보，회 의 공시，그림，음향，쏘프트웨어，기 술문서 그밖의 다른것 들이 
내용으로 될수 있다. 최근에는 날로 늘어 나는 상업봉사제공자들이 이 시장에로 뛰여 
들고 있다. WWW 는 불가피하게 분산콤퓨터화의 기본성질을 변화시켰다. 
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• 여기서는 프로그람과 자료의 분리를 하지 않는다. 내용제공자들은 문건에 실행가 
능내용(애플레트)을 매몰함으로써 사용자입력을 처리할수 있는 쌍방향리용이 가능 
한 Web 폐지를 창조하였다. 

• 콤퓨터작업은 의뢰기에로 넘겨 진다. 문서들에는 실행가능한 코드가 들어 있고 의 
퇴기들은 대 단히 성능이 높은 기계들에서 동작하므로 봉사기들은 콤퓨터작업과제 
를 자기의 의뢰기에 넘겨 주고 자원을 해방할수 있다. 때문에 의뢰기는 나쁜 속심 
을 가진 내용제공자들로부터 보호할 필요가 있다. 

• 이동코드들은 여러 위치들로부터 정보를 수집하거나 희귀한 계산자원을 찾으면서 기 
계에서 기계에로 이동한다. 의뢰기는 이동코드로부터 보호하여야 한다. 이와 반대로 
이동코드들이 동작하고 있는 의뢰기에서 이동코드를 보호할 필요도 있을수 있다. 

• 사용자들은 체계관리 자와 방책작성 자로 되지 않으면 안된다. 

Web 는 또한 쏘 프트웨 어 분산을 위한 새 로 운 모형 도 창조 하였 다. 쏘 프트웨 어 는 인 
터네트로부터 제공 받을수 있는 다른 부류의 내용으로 된다. 이 모형 이 좋다고 말할수 
있는 근거는 여러가지로 볼 수 있다. 독자들이 이미 쏘 프트웨 어제공자들에게 련결되여 
있다면 무엇때문에 플로피디스크에 있는 쏘 프트웨 어를 구입하겠는가? 그러나 초기 PC 
시대에서 얻은 경험을 상기해 보면 독자들은 아연해 질수 있다. 플로피디스크에 자원 
을 보관하게 한것은 콤퓨터비루스전염을 류포시키는 결과를 초래하였다. 많은 기관들 
이 플로피 디 스크들을 다른 기 관들로부터 가져 다 쓰는것 을 각성해 야 한다는것 을 적 지 
않은 고충끝에 알게 되였으며 이것은 WWW 에서도 받아 들이게 되였다. 

WWW 는 기본적으로 새로운 보안문제들을 만들어 내지 않았지만 WWW 보안이 독 
자적 으로 한개 장을 이룰 정 도로 그 내 용을 변화시 켰 다. WWW 보안은 급속히 변화되 
고 있으므로 이 책 이 완성되였다고 또는 최신으로 된다고 말할수 없다. 이 책의 목적 
은 지금까지 제안된 보안기구들을 설명하고 이러한 해결방법이 가지고 있는 고유한 제 
한성을 언급하는데 있다. 이 책에서는 콤퓨터보안이 기본문제로 되고 있으므로 인터네 
트에서 전송되는 자료의 보호는 간단히 언급만 한다. 


제2절. Web 열람기 

WWW 를 호출하기 위해서는 의뢰기에 Web 열람기가 있어야 한다. Web 열람기는 
단순하게 말하면 사용자들에게 도형사용자대면부 (GUI) 를 제공하며 Web 를 련결시키는 
데 필요한 규약들이 들어 있는 프로그람이다. 가장 많이 보게 되는 열 람기들은 
Netscape’ s Navigator 와 Microsoft Internet Explorer 들이다. 열 람기 는 

• 주목하는 Web 폐지를 나타내는《종소리와 휘 파람소리》를 발생 하며 

• Web 응용을 위한 봉사층이며 

• Web 봉사기들과 통신을 하기 위한 규약들이 들어 있고 

• 의뢰기의 보호에 관계되는 정보들을 관리한다. 

의 특성이 있다. 여기서 고찰하는 Web 보안모형의 기본요소들은 의뢰기，의뢰기열람기, 
Web 봉사기 이 다. 이 장에서 Web 봉사기 라는 말은 봉사프로그람을 동작시키고 Web 페 
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지를 관리하는 기계보다도 봉사를 제공하는 쏘프트웨 어 라는 뜻으로 더 많이 쓰이고 있 

다. 열람기는 의뢰기의 보안에서 중요하므로 현재의 제품의 고유한 특징과 열람기라는 

개념에 고유한 일반적특징들을 구별해 보아야 한다. 열람기는 다음의 리유들로 하여 

TCB 의 한부분으로 되고 있다. 

• 열람기는 의뢰기 Web 통신량을 조종한다. 의뢰기와 봉사기들사이에 원활하게 내용 
을 전송하기 위하여 열 람기는 사용자와 사용자의 콤퓨터환경에 대한 정보를 봉사 
기에 《로출시킨다》. 최소한 열람기는 되돌림주소를 알려 주어야 한다. 이때 봉 
사기가 자기의 의뢰기들에 대한 자료기지를 구축하고 의뢰기들이 식별하지 못하 
게 그것을 리용한다면 사적비밀보호에 대한 문제가 제기될수 있다. 

• 열람기들은 의뢰기의 환경에 대한 기정설정값들과 선택값들을 관리한다. 기정설정 
값들에는 실행가능한 위치가 들어 있다.보안의 선택값들은 보호의뢰기들이 Web 
대화를 응용하려고 한다는것을 나타내고 있다. 

• 열람기들은 최근에 방문한 페지들의 경력과 완충기억을 보관하고 있다. 이것은 사용 
자들에게 편리 하다. 국부적 인 완충기 억 에서 검 색할수 있는 페지 로 가면 속도를 높 
일수 있다. 이제 공동말단의 실례로 비행장대합실에서 려행자들에게 Web 봉사를 제 
공하는 경우를 생각해 보자. 많은 려행 자들이 이 말단을 차례로 리용한다. 이전 페 
지들에로 넘어 간다는것은 다른 려행자들이 방문한 페지들에로 돌아 간다는것을 의 
미한다. 안전한 Web 열람기는 객체재리용문제를 취급하여야 한다 ! 

• Web 보안응용들에 서 는 암호화 및 수자서 명알고리 듬을 리 용하는것 이 좋다. 열 람기 
가 의뢰기에 대하여 우의 알고리듬을 수행하는 경우 열람기에 의뢰기의 비공개열 
쇠를 의 탁하여 야 한다. 들어 오는 통신량과 보증서에 대 한 수자식서명들은 검사 
되여야 하므로 오늘날 열람기는 중요보증실체의 뿌리대조열쇠를 가지게 된다. 명 
백한것 은 열 람기 가 변경 과 서 명 으로부터 검 증열쇠 를 보호하여 야 하며 또한 로출 
로부터 암호열쇠를 보호하여야 한다는것이다. 

• 사용자들에게 인터 네트접근을 위 한 유일한 도구를 제공하기 위 하여 열람기들은 전 
자우편과 갈은 다른 통신봉사들을 통합한다. 보안의 각도에서 볼 때 이것은 불필 
요한 복합프로그람을 리용하는것으로 된다. 공격자는 열람기의 바그들을 리용하 
는 전자우편통보문들을 보낼수도 있다. 초기의 우편프로그람은 이 공격으로부터 
면역성을 가지게 할수도 있었는데 그렇게 하지 못하였다. 봉사들을 통합하면 통 
합하지 않았을 때 예 견하지 못했던 호상작용이 발생할수 있 다. 

• 열람기는 보통 전체 체계자원에 대하여 완전한 접근을 가지는 체계방식에서 동작 
한다. 

• 총체적으로 볼 때 초기의 조작체계에 의하여 실행되던 기능들이 더욱더 풍부해 진 
다고 보면 열람기들은 이를테면 Microsoft Internet Explorer 4 에서와 같이 일 
정한 시기 에서는 조작체계의 통합부문으로 될수도 있다. 이 과정 에 열 람기들은 
열람기자체의 접근조종 또는 어떤 Web 페지의 접근조종을 하는 사용자인증과 같 
이 보안의 사명을 수행하게 될것 이 다. 

열람기들이 상품화되지만 그의 내부명세들이 공개되지 않는다면 사태는 복잡해 지 

게 된다. 전문가들까지도 때때로 지나친 고찰방법이 필요 없다고 인정하게 된다 [128]. 
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제 3 절. CGI 스크립트 

전통적인 의뢰기-봉사기모형에서 여러개의 의뢰기들이 접근하는 봉사는 FTD 와 같 
은 불과 몇개 밖에 되 지 않으며 원격 수속접 근 ( RPC ) 을 통하여 광대역호출을 하는 의 뢰 
기의 수도 적다. CGI 스크립트는 많은 의뢰기들에 대하여 보다 유연하게 봉사에 접근 
할수 있게 한다. 보안문제의 본질은 변화되지 않았다. 봉사기는 자기의 의뢰기들에 대 
한 조종된 호출을 제 공한다. 그러 나 문제 의 폭은 다르다. 많은 사람들에 의하여 작성 
되고 보다 많은 일을 할수 있는 프로그람들을 더많이 동작시킬것을 봉사기에 요구한다. 
매 항목 그자체가 보안의 관심사로 되여야 한다.. 

CGI (Common Gateway Interface 공통관문 대면 부) 는 URL (Uniform Resource 
Locators ) 들이 나 HTML 을 실행 가능한 프로그람으로 변환하기 위 한 메 타언어이 다. 이 
프로그람들을 CGI 의 규격화요구가 적은 언어들에서는 다 작성할수 있다. Perl,Tcl 
또는 Safe-Tcl 과 같은 스크립트언어들이 여기에 특별히 적합하다고 볼수 있다. 보다 
일반적인 의미에서 ◦이는 의뢰기들이 봉사기에게 실행할것을 요구하는 계산에 영향을 
미치는 선택권을 의뢰기 에게 더많이 준다는 총체적 인 개 념을 의미 한다. 

◦이는 다음과 같이 동작한다(그림 11-1). CGI 스크립트와 그의 입력 변수를 기 입하 
면 의뢰기는 URL 이나 HTML 의 형식으로 봉사기에 보낸다. 이 요구는 Web 봉사프로 
그람의 사용자신분에 의하여 실행되는 어떤 프로그람에 전송된다. Web 봉사기는 봉사 
기측 포함 ( Server-Side Includes , SSI ) 과 같은 응용프로그람을 호출할수도 있다. 이 
봉사기 측 포함이라는 응용프로그람에 의 하여 봉사기 우의 문서 는 SSI 즉시 처 리라고 부르 
는 체계지령들을 포함할수 있다. 어떤 의뢰기가 이러한 문서를 요구하면 이 체계지령 
들은 평가되여 그 결과를 문서에 삽입하고 의뢰기에로 되돌려 준다. 

[128] 의 간단한 실례를 통하여 CGI 스크립트들이 어떻게 손상을 일으키는가를 알 
수 있다. 파일을 의뢰기 에 보내 는 스크립 트는 다음과 갈다. 


cat thefile | mail client address 


여기서 仕 lefile 은 파일의 이름이며 clientaddress 는 의뢰기의 우편주소를 나타낸다. 
나쁜 마음을 가진 사용자가 


의뢰기 


봉사기 


URUHTML 형 

실행 



1 CGI 

1 스크립트 | 


그림 11-1. 봉사기는 CGI 스크립트를 실행 한다 
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user @ address | rm - rf / 


을 우편주소로 들여 보내면 봉사기는 

cat thefile |mail user @ address | rm - rf / 

을 실행할것 이 다. 파일을 사용자에 게 우편으로 보낸 다음 지 우기 를 허 용하는 모든 파 
일들을 삭제 한다. 

Web 봉사기체계에서 보안을 관리하기 위하여서는 많은 과제들이 실행되여야 한다. 
아래 에 서 체 계 가 Unix 체 계 라고 가정 한다. 먼저 체 계 관리 자는 CGI 스크립 트들을 주체 
계우에서 추적하여야 한다. 다음의 두가지 선택권이 있다. 

• Script-aliased CGI : 모든 CGI 스크립 트들은 하나의 Web 봉사기뿌리등록부 즉 
/ var / httpd 의 어 떤 등록부 ./ cgi - bin . 에 넣 는다. 

• Non - script-aliased CGI : 모든 CGI 스크립 트들은 자기 의 확장자 . cgi 에 의하여 
식별된다. 

첫번째 선택권은 모든 CGI 스크립트들을 보다 쉽게 찾아 내므로 보다《 안전》하 
다. 다음에 UID 우에서 Web 봉사기프로그람을 결정 하여 야 한다. 최 악의 경우에도 대처 
할수 있어 야 하므로 CGI 스크립트가 의심스럽 다면 조종을 하지 않을수 있다. Web 봉사 
기프로그람을 뿌리로서 동작시키면 재난을 초래할수 있다. 최적이라고 볼수 있는 선택 
권은 전용적인 Web 봉사기 UID 를 창조하고 그의 접근권한을 충분히 고려하여 조종하 
는것이다. 이 해결책이 서로 다른 사용자들에 속하는 Web 폐지들을 분리시키지 않는다 
는것 을 명 심하여 야 한다. 모든 CGI 스크립 트들은 동일 한 UID 에 서 동작할것 이 다. 스 
크립트가 자기의 저자의 허가밑에서 동작하도록 하기 위해서는 CGI Wrap 와 같은 포 
장프로그람이 필요하다. 

Web 봉사기의 통합환경을 보호하기 위해서는 Web 봉사기 UID 가 Web 봉사기2진형 
파일과 구성파일을 가지지 말아야 하며 또한 Web 봉사기 UID 는 다른 봉사들과 공유되 
여서는 안된다. 특히 Web 봉사기는 UID -2 를 가진 특수한 사용자 Nobody 에서는 동작 
시키지 말아야 한다. UID 환경에서는 다른 봉사가 이미 동작하고 있다는것을 예견하여 
야 한다. 

CGI 스크립트의 코드를 다시 조사해 보면 보안에서 결함이 있는 스크립트를 제거 
할수 있다. 만일 시간과 풍부한 경험이 있어 이것을 한번 해본다면 이것은 더 말할것 
없이 좋은 생각이다. 될수록 빨리 봉사기우에서 자기의 새로운 폐지를 보려고 하는 가 
입자들의 Web 싸이트를 관리하려고 한다면 이 선택권을 쓰지 않아도 된다. 

끝으로 호출을 조종하는 다른 경우와 마찬가지로 CGI 스크립트의 입력을 려과하지 
않으면 안된다. 호출되는 조작이 유력할수록 수신하는 입 력에 보다 깊은 주의를 돌려 
야 한다. 봉사기측의 포함프로그람은 기능이 매우 풍부하다. SSI 즉시처리형의 형식은 
다음과 같다. 


<!-#operator argl =” stringl ” arg 2=” string 2” •••-> 

인수 cmd 를 가지는 연산자 exec 에 의 하여 최종적으로 유연성 이 보장된다. 
SSI 즉시처리형의 형식 


<!-#exec cmd =” myprogram myparameters ” -> 
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은 문자렬 myprogram myparameter 를 실행을 위 하여 /bin/sh 에 넘 겨 준다. 
myparameters 에 멜확장문자가 들어 있는 경우 완전히 해를 주지 않는 프로그람에 넘 
겨 진 파라메 터 또는 프로그람으로부터 범죄 가 발생 할수 있다. “unescape” 조작은 
확장문자들에 주석을 달아 줌으로써 의뢰기에서 오는 입력에서 쉘확장문자를 제거한다. 
지령 


unescape “stringl; string2” 

은 "stringl\ ; string2\ "을 되돌린다. 스크립 트언어 (실례 로 Perl) 들도 확장문자를 해 
제 한다. 확장문자를 해제하면 봉사기측의 포함프로그람에서 제 일 공격 하기 쉬운 구멍 
이 없어 지게 된다. 공격 자들은 여전히 Unix 의 지 령 들과 자기 들의 입 력 으로 공격하 
고 있다. 이러한 모험을 접수할 준비가 되여 있지 않다면 다음의 봉사기선택권으로서 
exec 를 해제시키면 된다. 

Option IncludeNOEXEC 


제4절. 쿠키 

어떤 형태의 업무에서든지 개별적인 의뢰기를 마음대로 선택하도록 봉사를 변경시 
킬수 있다. Web 봉사도 례외가 되지 않는다. Web 봉사인 경우에는 가입자들에 대한 
정보를 기 억하는 장소가 필요하다. 이 정보는 봉사기 에 보관될수도 있지만 사용자기지 
가 방대한 경우에는 요구되는 기억기요구와 탐색시간이 문제로 된다. 더우기 HTTP 요 
구들은 개별적인 사용자들을 자동적으로 식별하지 못하므로 협동열람기의 도움으로 
가입자싸이트를 리용하는것 이 보다 쉬워 진다. 봉사기는 열람기에 봉사기가 다음번 의 
퇴기호출에서 참조할 정보를 포함하는 무키 (cookie) 를 보관하여 두도록 한다(그림 
11-2).Unix 체계에서 대표적인 기억위치는 사용자홈등록부에 있는 . netscape/cookies 
와 같은 파일 이다. 



그림 11-2. 의뢰기에 보관된 무키들 

쿠키 를 사용하는 공학적 인 리유도 있 다. HTTP 규약은 국적 이 없 다. 모든 HTTP 
요구들은 독립적 인 사건으로 취급되며 지 어는 동일한 의뢰기 로부터 온다고 해도 마찬 
가지이다. 련관되여 있는 모든 관리과제들은 부단히 반복된다. 실례로 Web 페지에 접 
근하기 위한 통과암호가 요구된다면 이 페지에서 마우스를 찰칵할 때마다 이 통과암호 
를 돌려 주어 야 한다. 이 문제 는 HTTP 1.0 에 의하여 대 화를 진행하는 기 간에 이 미 
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해결되였다. 열람기는 첫 요구에서 들어 온 통과암호를 기억하고 이것을 이후의 봉사 
기에 대한 모든 응답들에 자동적으로 포함시 킨다. 

무키들은 이 개념을 일반화하여 사용자간접소비시간은 물론 행정적인 간접소비시 
간을 줄이면서 국적 있는 HTTP 대화를 창조할 가능성을 열람기들한테 준다. 그러면 
국적정보는 대화기간이 지 나도 보관될수 있다. 

쿠키들은 봉사기로부터 의뢰기에로 작업부담을 옮기는 잠정적인 첫 단계이다. 쿠 
키들이 보안문제로 되는가? 쿠키들은 체계의 통합환경을 위반할수 없다. 그것은 무키 
들이 실행가능한 코드가 아니라 자료이기때문이다. 무키들은 봉사기에 직접적으로 정 
보를 로출시키지 않는다.결국 봉사기는 열람기에 쿠키를 보관하라고 요구한다. 개별적 
인 무키들도 역시 어떠 한 기밀성문제를 만들어 내지 못한다. 

사적 비밀문제 가 남아 있으므로 개 별적 인 무키 들에 근심할 필요가 없다. 어쨌든 봉 
사기 들은 저 마다 정 보를 얻는다.그러 나 열 람기 에 의하여 기 억된 무키 들의 전체 모임은 
의뢰기프로필을 창조한다. 따라서 열람기접근조종기능은 매우 중요하다. 일반적으로 
무키 들은 령 역 에 특정이 며 봉사기 들한테 는 자기 령 역 에 속하는 쿠키 에 대 한 접 근만이 
주어 진다. 최근에 대부분의 열람기들은 무키들을 기억시킬수 있는가를 물어 보고 설 
정할수 있는데 이것은 시끄리운 문제 로 되기 가 쉽다. 무키들을 기 억하지 않는 열 람기 
들도 있으며 이 경우 대화의 끝에서 주키들을 지우는 선택권이 반드시 있게 된다. 


제5절. 보증쿄 E 

프로그람은 저자에 의하여 서명되며 의뢰기는 봉사기로부터 얻어 지는 프로그람에 
있는 수자식서명을 검증한다(그림 11-3). 따라서 의뢰기는 코드원천 또는 일반적 으로 
내 용원천을 검 증할수 있다. 이 전에 는 류사한 개 념 으로서 수축포장된 f 프트웨어 
( shrink-wrapped software ) 가 있었다. 보증서는 를퓨터 보안문제보다도 통신보안문 
제를 상대로 한다. 인터네트에 제품을 제공하는 쏘프트웨어작성자들은 다른 동업자들 
이 모방하지 못하도록 보호된다. 의뢰기들은 그들이 내리적재하려고 하는 코드원천을 
아는 경우에 어떤 보호를 받을수 있다. 



그림 11-3. 의뢰기에서 서명한 애플레트의 실행 

이 방안에서 의뢰기들은 업무를 진행하려 고 하는 봉사기들에 대 하여 검증열쇠를 
필요로 하고 있다. 의뢰기는 인터네 트가 아니 라 통로를 통하여 검증열쇠를 얻 을수 있 
지만 검증열쇠대신에 보증서를 리용하는 경우가 많다. 이때 보증서는 다른 그 어떤 사 
탐에 의하여 서명되 여 야 하며 의뢰기 에서는 보증서를 검사하기 위하여 검증열쇠 가 필 
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요하다. 자기의 가입자들에게 보증봉사를 제공하는 회사들이 존재한다. 이러한 방안밑 
에서 보증된 열쇠는 다 보증서의 사슬에 의해 검증될수 있는데 이때 사슬의 마지막요 
소는 이 방안의 뿌리서명열쇠밑에서 서명된다. 보증코드의 검증을 초기에 진행하기 위 
하여 의뢰 기는 해 당한 뿌리 검증열쇠 들을 가지 고 있 어 야 한다. 오늘날의 열 람기 들은 이 
러한 열쇠를 가지고 있다. 

해결되여야 할 문제가 아직 하나 남아 있다. 만일 서명을 검사하기전에는 인터네 
트에서 엄은 내용을 믿을수 없다면 그리고 인터네트로부터 자기의 열람기를 받는다면 
어떻게 대조를 시작할수 있겠는가? 안전하자면 Web 밖에서 뿌리검증열쇠의 유효성을 
확증해 야 한다. Web 보안에 관한 문헌이 뿌리검증열쇠를 위한 아주 보편적 인 원천으로 
될수 있 다. 

보증코드는 내용이 어디서 오는가를 사용자들이 알고 있다고 담보한다. 보증서는 
코드의 동작에 대해서는 그 어떤 담보도 주지 못한다. 명망이 있는 쏘프트웨어판매자 
들까지 도 가끔 콤퓨터비루스를 전파하는 불량한 쏘프트웨어 를 류포시킬수 있다는것 을 
잊지 말아야 한다. 사용자가 동의 한 방안하에서 보증되지 않은 Web 싸이트로 갈 때 보 
증코드들은 아무런 도움도 주지 못한다. 

의뢰기는 자기가 믿는 원천에 대한 보증열쇠목록을 보관하고 있다. 이 목록은 명 
백히 공격대상으로 된다. 만일 해독적 인 Web 봉사기가 이 목록에서 자기의 검증열쇠를 
꺼낸다면 이 봉사기로부터 오는 코드는 믿음성 있는 코드로 취급할수 있을것 이 다. 

Active X 조종에 쓰이는 Microsoft 의 인증코드는 확증코드의 기본실례로 된다. 
Active X 조종은 Web 폐 지 에 첨 부되 는 쏘프트웨어 요소들이 다. Active 표의 조종이 확 
증되였다면 실행이 가능한 동작들을 더이상 제한하지 않고도 실행시킬수 있다. 
Microsoft 와 Microsoft 가 인정한 제 공자들로부터 쏘프트웨어 를 배 포 받는것 은 Web 보 
안기구의 론리적인 방도로 된다. 이러한 방안에 근거하여 Web 싸이트로부터 코드를 받 
으면 《담보된》제공자로부터 프로그람을 사는것과 완전히 같다. 잘 알려 지지 않은 
제공자로부터 받은 실행가능한 내용을 동작시키려고 하는 경우에 보증코드는 도움을 
주지 못한다. 


제6절. 모래통 

Web 기술의 능력을 충분히 발휘하기 위하여 사용자들은 관심을 가지는 어떤 Web 
싸이트로부터 실행가능한 내용을 접수할수 있도록 준비되여 있어야 한다. 이를 위해서 
사용자들은 실행가능한 내용(애플레트)의 동작을 조종할수 있어야 한다. 이것은 바로 
요구하는 환경 에서 실현되 여 야 한다. 즉 

• 사용자들은 선행획 득과 그리 고 애 플레 트원천과의 신용관계 에 의 거할수 없게 
된 다. 

• 개 인적으로 볼 때 매개 접근요구에서 애플레트에 의하여 이루어 진 접근요구를 따 
르려고 하는 사용자들은 많지 않다. 

• 의뢰기의 조작체계 가 어떠 한 보호를 제공한다고 기대할수 없다. 

이것은 Java 언어설계 자들자신이 체득한 환경 이 다. 설계 자들은 조작체 계환경 에 의 
존하지 않는 애플레트를 작성하는 언어를 만들면서 모래통 ( sandbox ) 이라는 개념을 받 
아 들여 (그림 11-4) 애 플레 트가 이 모래 통을 떠 나지 못하게 하였 다. 보안에 서 고려 하 
여야 할 점들은 설계를 결정하는 여러가지 문제에 귀착된다. 
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그림 11-4. Java 모래통 


• 언어자체는 프로그람들이 될수륵 파괴를 일으키기 힘들게 되여 있어야 한다. 

• 실행 환경 은 실행 접 근조종을 위한 기 구를 제 공한다. 

• 환경 에 의해서 리행되는 보안방책들은 정 확히 설정되 여 있어 야 한다. 

Java 는 객체지향성이 강한 언어이다. 보안의 측면으로부터 지적자가 없으면 특별 
히 안전하다. 지적자에 의한 기억기접근은 C 또는 C ++ 언어에서 오유와 보안을 파괴시 
킬수 있는 주되는 원인의 하나이다. Java 는 형안전성을 실현한다. 객체에 기억되여 
있는 클라스꼬리표로 Java 대상의 형을 나타낼수 있다. 정적형검사는 실행시에 취함수 
있는 연산수의 인수들이 항상 정확한 형으로 되는가를 검사한다. 실행상태에서 정적형 
검사는 동적형검사에 비하여 복잡하지만 품이 많이 드는 작업을 사전에 하였기때문에 
실행속도는 보다 빠르게 된다. 

Java 원천코드는 기계에 의존하지 않는 바이트코드로 변환되여 클라스파일로 기억 
된다. Java 바이 트코드는 아쎔 블리언어 와 비슷하다. 조작체 계 환경특정 인 가상기 계 는 
바이트코드를 해석하여 기계에 특정인 명령으로 변환한다. 프로그람을 실행할 때 클라 
스적재 프로그람은 요구되는 어떤 보충적 인 클라스들을 넣 는다. 기성 클라스들은 실행시 
간환경에 의하여 제공되는《조작체계》의 또 하나의 부분을 이룬다. 

Java 는 일반용프로그람언어로서 독자들에게 C ++ 대신에 Java 언어로 응용프로그람 
을 작성할것을 권고한다. 여기서는 Java 응용프로그람의 실행시 보호측면에 대 해서는 
론의하지 않는다. 다만 Java 언어로 작성된 실행가능한 내용이면서 원격봉사기로부터 
오는 보안구성방식의 Java 애플레트를 실행시키려고 한다. 이런 의미에서 보안은 다음 
과 같은것들을 의미 한다고 할수 있다. 

• 애플레트들은 사용자파일체계의 접근을 가지지 않는다. 

• 애플레트들은 사용자이름，전자우편주소，기계구성정보를 엄을수 없다. 

• 애플레트들은 자기들이 온 봉사기까지만 밖으로 련결될수 있다. 
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• 애플레트들은 《 untrusted 》 (믿을수 없는)라고 표시된 창문들만 꺼내기 (POP UP ) 
할수 있다. 

• 애 플레 트들은 새 로운 클라스적재프로그람이 나 새 로운 보안관리기 를 창조함으로써 
체계를 재구성할수 없다(아래에서 고찰한다). 

Java 가 가능한 열람기들은 자기의 Java 가상기계를 가지고 온다. Java 가상기계는 
바 이 트 코 드 검 증 기 (byte code verifier ) , 클 라스 적 재 기 (class loader ) , 보 안관 리 기 
(security manager ) 의 3가지 보안요소를 가진다. 현재의 열 람기들은 류사한 방책들을 
시행하고 있지만 이것은 반드시 그렇게 하여야 한다는것이 아니라 선택에 따른다. 

1. 바이트쿄드검증자 

바이트코드검 증자 (byte code verifier ) 는 문장론적검사를 수행 하고 정적형 검사를 
위한 정 리 증명 자 (ttieorem prover ) 와 자료흐름해 석 을 리 용하여 Java 클라스파일 을 분 
석한다. 검증에 의하여 다음과 갈은 특성들이 담보된다. 

• 콜라스파일이 적 당한 형식으로 되여 있다. 

• 탄창들이 자리넘침 이 일어 나지 않는다. 

• 모든 연산수들은 정확한 형의 인수를 가진다. 

• 형사이의 자료변환은 없다. 

• 다른 클라스에 대한 모든 참조는 합법적 이 다. 

바이트코드검증자는 해석프로그람의 부담을 줄인다. 그것은 코드가 정확하다는 특 
성이 담보되므로 실행시에 다시 검사하지 않아도 되기때문이다. 그럼에도 불구하고 보 
안은 여전히 실행시간환경에 의존하게 된다. 

2. 애플레트클라스적재 프로그람 

클라스적재 프로그람 (class loader ) 는 실행시 간환경의 완정성 을 보호하여 야 한다. 
애 플레 트들은 자기 의 클라스적 재 프로그람을 창조해 서 는 안되 며 서 로 간섭 하지 말아야 
한다. 매개 클라스적재프로그람은 자기의 이름공간을 가지고 있다. 매개 클라스는 그 
것을 설치한 클라스적재 에 의하여 표식화된다. 애플레 트들은 애플레트클라스적재프로 
그람에 의하여 조종된다. 망으로부터 반입된 클라스들은 자기의 출처에 근거하여 개개 
의 이름공간에 보관된다. 

Java 는 자기의 클라스서고를 가지고 온다. 이 서고에 있는 클라스들은 아주 쓸모 
있으며 망으로부터 오는 클라스들과 조종을 같게 해줄 필요는 없다. CLASSPATH 환 
경 변수는 기성클라스 즉 보안검사를 더하지 않아도 자동적 으로 넣어 지는 클라스들이 
있 는 위 치 를 표 기 한 다 . CLASSPATH 를 변 화 시 키 거 나 출 처 가 의 심 스 러 운 
CLASSPATH 를 첨부할 때 보안에 미치는 영 향이 뚜렷하여 야 한다. 

한 클라스가 다른 콜라스를 참조하는 경우 애플레트클라스적재프로그람은 먼저 국 
부이 름공간에 있는 기 성 클라스들을 탐색한다. 만일 요구한 클라스를 발견하지 못하였 
다면 탐색은 참조를 만들고 있는 클라스이름공간까지 탐색을 확장한다. 이 탐색경로를 
따르면 기성클라스들을《속여》넘길수 없게 된다. 
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3. 보안관리자 

보안관리 자 (security manager ) 는 Java 보안모형 의 참조감시 기 로서 《 위 험 한》방 
법들에 대 하여 실행시 간검사를 진행 한다. 특정의 방책들을 리 행 하여 들어 온 클라스， 
국부클라스，기성클라스들을 구별할수 있다. j ava 클라스들을 다시 패키지로 구분된다. 
패키지들은 클라스에로의 초보적인 접근조종을 쉽게 한다. 객체본보기에 따르면 콜라 
스들은 변수(속성)들과 방법들을 가진다. 변수들과 방법들은 다음과 같이 선언해 줄수 
있 다. 

• Private： 변수나 방법을 창조하는 클라스만이 접근을 가진다. 

• Protected： 변수나 방법 그리고 그의 부분클라스를 창조하는 클라스만이 접근을 
가진 다. 

• Public： 모든 클라스가 접근을 가진다. 

• None of the above： 동일한 패키지안에 있는 클라스만이 접근을 가진다. 

클라스들은 자기가 속한 패키지자체를 선언한다. 보안관리자는 클라스 그자체가 
특권화된 패키지에 첨부되지 않도록 하여야 한다. Java 의 새 판본에서는 서명된 애플 
레 트들을 접 근조종기 준보관소에 첨 부하였 다. 

4. Java 보안의 현 상태 

싼 ( Sun ) 회 사가 고심 어린 노력 을 들여 보안에 달라붙었음에도 불구하고 Java 보안 
은 지 금까지 완전히 성 공하지 못하였 다. 그 구체 적 인 원 인들을 [95] 에 서 제 시 하였 다. 

8장에서 있을수 있는 이러한 문제들을 일부 언급하였다. 대부분의 경우에 형체계를 파 
피하는 방법으로 공격이 개시된다. 이것은 객체지향추상화에 강한 보안을 구축하기 위 
하여 시도하고 있으며 그 기초에 놓이는 객체관리체 계를 확고하게 하기 위해 더는 노 
력하지 않아도 되기를 바라는 모든 사람들에게 알려 주는 경고로 되여야 할것이다. 복 
합체 계 를 빈틈없이 하는것은 어 려운 과제 이 다(형체 계 를 파괴하는것은《층아래의 접근 
을 하게 하는》다른 하나의 실례로 된다). Java 보안은 Web 열람기에서의 가상기계가 
하여 야 할 문제 이 다. 다시 말하지만 보안은 조작체계우에 있는 봉사층에 놓인다. 실례 
로 Web 열람기가 아닌 응용을 동작시킴으로써 사용자가 보안기구아래에 있는 층에로 
접근하면 보안체계 가 완전하다고 하던것 이 수포로 되 여 버리고 만다. 한편 조작체계의 
보안특징들은 공개되여 있으므로 Web 보안을 강화할수 있다. 끝으로 언급하고 싶은것 
은 Java 보안모형 이 하나의 틀거 리 를 제 시하는것 이 지 어 떤 고정 된 보안방책 에 맞추라 
고 하는것은 아니 다. 


제7절. 지적소유권보호 

내용제공자들은 자기들의 Web 페지우에 표시되여 있는 정보로부터 소득을 얻으러고 
한다. 수자정보들은 아주 쉽게 복사되여 전송될수 있다. 따라서 내용제공자들에게는 자 
기의 업무를 보호하는데 도움을 줄수 있는 기구가 필요하게 된다. 이것은 망보안에서 
결코 새롭게 제기되는 문제가 아니다. 지난 시기에는 쏘프트웨어회사들과 음악 및 비데 
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오산업에서 제기되였었다. 지적소유권 ( IPR ) 의 보호에서는 지금이 나 지난 시기에나 명 
백한 해결책 이 없다. 쏘프트웨 어 보호를 간단히 다시 돌이켜 보면 그 리 유를 알게 될것 
이 다. 쏘프트웨 어 보호라고 할 때 쏘프트웨어 를 허 가없 이 함부로 사용하지 못하게 한다 
는것을 말한다. 다음의 두가지 기본적 인 공학적해결방도가 있다. 

• 복사보호 : 쏘프트웨어 는 그것 을 기 억 하는 하드웨 어 와 결 합시 킨다. 

• 용도의 제 한 : 쏘프트웨어 는 그것 을 실 행하는 하드웨 어 와 결 합시 킨 다. 

두 방법이 다 자기의 약점이 있지만 오늘날 적지 않은 쏘프트웨어판매자들은 법률 
제도를 통하여 자기들의 권리를 행사하고 있다고 믿고 있다. 쏘프트웨어판매자들은 콤 
퓨터비 루스들이 굉 장히 떠 돌아 다니 는것 을 알기 때 문에 사용자들에 게 값 눅은 복사판보 
다《원본》프로그람을 사는것이 좋다고 선전하고 있다. 

1 . 복사보호 

복사보호는 프로그람이 플로피 디스크에서 보급되 던 시기 에 사용하였다. 디스크에 
기억된 자료는 자리길과 분구로 구분된다. 분구에는 자료위치를 나타내는 머리부와 기 
본완정성 검 사를 위한 검사합이 들어 있다. 디스크에 기 억된 프로그람은 표준형 식과 편 
차날수 있으므로 판매 자가 제 공하는 전용루린으로만 검 색할수 있 다. 복사루린 이 비 규 
격 복사를 성공적 으로 진행할수만 있다면 방어대 책은 없게 될것 이 다. 복사보호기구들의 
출현은 보다 위력한 복사프로그람을 실제적으로 개발할수 있게 하였다. 다음의 선택권 
들이 복사보호를 위하여 연구되 였 다. 

• 론러 보호: 《 unlistable 》 (목록으로 표시 할수 없음) 기발이 설정 되였거나 
( invisible ) (볼수 없음)문자를 만났을 때 파일이 목록으로 표시되거나 복사되지 
않도록 복사와 목록루린을 다시 작성한다. 사용자가 조작체계를 환히 꿰뚫고 있 
다면 보호는 불가능하다. 

• 비규격 화디스크형 식 : 플로피 디 스크형 식 을 변화시 키 기 위한 선택 권에는 자리 길을 
형식화하지 않거나 분구당 자리길수, 번호，분구크기，검사합을 변경하거나 라선 
형 자리길화가 있다. 이 러한 기구들은 규격 디스크형식 이 라고 가정하는 프로그람들 
을 복사 하지 못 하도록 하는데 서는 쓸모 있 다. 이에 대 처 하 여 
rdbble / bit ( ln 比) ble =4 bit ) 로 복사프로그람을 작성 하면 론리적형식 을 무시 하고 디 
스크의 물리적 인 복사를 실현할수 있다. 

• 디 스크의 지 문화: 쏘프트웨어 를 디 스크의 고유한 물리 적 특성 과 결 합하여 원본을 
판매하며 정확한 지문이 있는 디스크에서만 동작시 킨다. 보통 지문으로서는 형식 
화된 자리길 40( 보통 형식화되지 않는다.)의 존재，매개 자리길에서 0번분구를 읽 
는 지 연시 간, 자리길당 비 트수 또는 고의 적 으로 손상시 킨 디 스크의 불량분구의 
위치가 될수 있다. 

코드가 극소형처리기나 RAM 에 있는 경우에 코드에 접근하면 디스크에 의한 복사 
보호는 아무런 의미도 없게 된다. 실례로 새 치기처 리프로그람을 수정하여 어떤 프로그 
탐이 실행될 때마다 복사수속을 호출할수 있다.《복사카드》(기억기판)를 극소형처리기 
의 내부모선우에 설치하고 새치기표를 변경시키면 이 카드에로 조종을 넘겨 줄수 있다. 
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디스크에 의한 복사보호방법의 가장 치명적인 결함은 사용자들이 《규격화된》쏘 
프트웨 어 구성 요소들을 실 행 시 킬 수 없 으므로 여 벌 복제 (back up ) 와 서 로 다른 제 품들사 
이 의 호상조작성 에 지 장을 준다는것 이 다. 쏘프트웨 어관리 는 사용자측에 서 벗 어 나므로 
사용자는 쏘프트웨 어 판매 자들을 믿고 업무를 리용하게 된다. 

2. 용도제한 

복사보호에서 제기되는 기본문제는 복사의 회수보다 쏘프트웨어의 용도를 제한하 
면 피할수 있다. 쏘프트웨어자체가 자기가 실행하고 있는 기계의 신원을 검사할수 있 
다. 여기서 《신원》을 나타내는 범주에는 기계의 이름，그의 망주소，그의 에써네트 
주소 등이 속한다. 보통 이러한 값들은 어떤 기억된 값과 비교되는 검사합의 계산에 
기인하고 있다. 이러한 형태의 쏘프트웨어보호는 솜씨 있는 사용자들이 다음과 같은 
수단들을 받아 들이면 무효로 될수 있다. 

• 오유수정프로그람. 이것은 쏘프트웨어에 의하여 검사를 분석한다. 

• 쏘프트웨어의 이러저러한 조립. 이것은 쏘프트웨어가 허용되지 않는 기계에서 실 

행된다고 하여도 검사가 성공한다고 담보한다. 

기계들을 갱신하거나 다시 이름을 붙이자면 판매자들이 검사합을 새롭게 변경하여 
야 하므로 비용이 증가하고 편의성은 떨어 지게 된다. 

Dongle 과 지능모둘은 전자장치에 대항하는 수단으로서 극소형처리기들을 소유한 
다면 《 지 능화》된 다. 이 모둘은 RS -232 C 인쇄 기 대 면부，에 써 네 트 ( Ethernet ) 대 면부， 
지능카드읽 기 장치 로 콤퓨터 나 극소형 처 리 기의 내부모선에 련결된다.이 모둘은 실행시 
에 반드시 존재 하게 되 므로 쏘프트웨어 는 그의 존재 를 쉽 게 검 사할수 있 다. 지 능모둘 
은 쏘프트웨어 의 극히 중요한 부분을 포함하거 나 암호화된 형 태 로만 보관되 여 있는 프 
로그람을 해신할수 있다. 이러저러한 프로그람의 조립품은 이 모둘과의 작용을 아주 
쉽게 모의할수 있다. 

사용자들은 보호된 프로그람을 Dongle 에 의하여 마음대 로 복사할수 있 으므로 얼 
마든지 복사판을 만들수 있다. 동시에 실행되는 프로그람의 수만을 제한해 준다. 하나 
이상의 프로그람이 보호되여야 하는 경우에는 호상조작성문제가 제기될수 있으므로 여 
러개의 Dongle 들을 동시에 꽃아 넣어야 한다. 끝으로 사용자들은 Dongle 이 고장나면 
제 작자들이 업 무를 중단할수 있 다는 사실 에 대 처할수 있 어 야 한다. 

3. 지문과 내비침무늬 

수자문건에 지 문 ( fingerprint ) 과 내 비 침 무늬 ( watermark ) 를 첨 부하는 방법 은 내 용 
보호를 위한 해 결 방도로서 현재 잘 쓰이 고 있는 방법 이 다. 개 략적 으로 말한다면 내 비 
침무늬는 어떤 문건에서 지적소유권의 소유자를 식별하여야 하며 지문은 이 문건의 구 
입자를 식별하게 된다. 
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다음과 같은 여러가지 요구들이 제기되며 보통 여기에는 모순점들이 있다. 

• 내비침무늬와 지문들은 문건에서 병합되기 쉬워야 한다. 

• 내 비 침 무늬와 지 문들은 제 거 하기 가 힘 들거 나 불가능하게 되 여 야 한다. 

• 내 비 침무늬와 지문들욘 화상의 질에 영 향을 주지 말아야 한다. 

• 내비침무늬와 지문들은 화상을 공통적으로 변경하여도 계속 남아 있어야 한다. 

• 내비침무늬와 지문들은 정확한 저작권에 의하여 쉽게 검출될수 있어야 한다. 

창조자가 소유권을 사용자들에게 보여 준다면 저작권침해자들이 내비침무늬를 제 
거할수 없도록 하는것이 가능한가? 중재자는 내비침무늬를 찾기 위한 위치를 알게 된 
다. 이때 저작권침해자들은 이 위치들에서의 자료들을 변경시킬수 있다. 그것은 Web 
열람기로부터 오는 보다 많은 안내정보를 받게 되기때문이다. 이때 조종은 대상보다도 
접근조작에 초점을 두게 된다. 


이 장의 문헌안내 

Web 보안에 대 한 일 반참고서 로는 [128] 이 적 합하다고 볼수 있 다. 무키 와 인 터 네 트 
암호화는 [124] 에서 취급되였다. Java 보안의 분석은 [95] 에서 구체적으로 론의되였 
다. Web 보안에 대한 매우 가치 있는 정보들은 다음의 Web 위치에서 찾을수 있다. 

http :// www . w 3. org(the homepage of the world wode wev consortium ); 

http :// java . sun . com / sfag / index . html ( JavaSoft’s introduction to Java 
security ); 

http :// java . sun . com / forum/security Forum.html (more on Java security ) : 

http : // hoohoo . ncsa . uiuc . edu/cgi (the de facfc CGI standard ) 

http : / / www . microsof t . com / intdev / Security / anthcode / anthwp . 
zip ( Microsoft's authencode ) : 

http ：// wwwcgi . umr . edu /~ cgiwrap / intro . html ( CGIWrap ) : 

Java 보안모형에서의 최근의 발전과정은 [59] 에서 서술되였다. 독자들이 자기에게 
있는 기계를 리용하는 경우에 어떻게 하면 되는가 하는 표상을 가지기 위하여서는 [94] 
를 보시오. 

인터네트에서 쏘프트웨 어보호(복사권，특허법)의 법률적기초를 론의하는데서는 아 
직도 해결하여야 할 문제점들이 많이 남아 있다. 이러한 문제해결의 발전동향을 취급 
하는 좋은 참고서는 잡지 《Communications of ACM 》 이 다. 복사보호와 복사프로 
그람사이 의 관계 를 개 괄적 으로 보여 주는 도서 는 [6 幻 이다. IPR 보호를 위 한 정 보은페 
화의 현재적용평가는 [4] 에 보여 주었다. 
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련습문제 


1. 자기의 Web 열람기의 현재의 보안설정값들을 문서로 표기하시오. 체계에서 보안에 
관계되는 정보는 어디에 기억되여 있는가? 

2. Web 보안에 대한 복자의 기대를 만족시키는 보안방책을 정의하고 독자의 방책을 
실현하기 위한 모형을 구성하시오. 

3. 동일한 열 람기 대화에서 전자상업응용프로그람과 콤퓨터유희프로그람이 실행 되지 
못하도록 보안방책과 이에 관계되는 보안모형을 형식화하시오. 

4. 성 능을 개선하기 위하여 열 람기 들은 의뢰 기의 국부완충기억 기 에 Web 폐 지 들을 기 
억한다. 적의 Java 애플레트가 이 특징을 어떻게 리용하면 부여 받은 권한보다 높 
은 준위 특권을 엄 을수 있겠는가? 완충기억 화가 보안의 약점 으로 되 는 다른 례 들 
을 서술하시오. 

5. Unix 의뢰 기우에서 적의 애플레트들을 방어 하기 위하여 실현할수 있는 보호방법 
을 서술하시오. 

6. 일련의 정황에서는 실행하고 있는 체계로부터 이동코드를 보호할 필요가 있다. 도 
대체 어느 범위로 하면 이 목적을 달성할수 있겠는가? 실현될수 있는 보호특성과 
본래 실현될수 없는 보호특성을 목록으로 나타내시오. 

7. 프로그람산업은 복사권보호를 통하여 자기의 자산을 보호하려고 시도하였지만 
1990년대 초에 전반에 걸쳐 이것 을 포기하였다. 지 금에 와서 다시 지 적 소유권을 
위한 보호기 구를 개 발하기 위하여 노력 하고 있다，독자들의 견해 에 의하면 현재 기 
술의 변화가 이후의 성공을 약속할수 있겠는가? 

8. 복사보호가 프로그람업무에서 계속 유익하게 될것인가? 대답할 때 문서처리기， 
VLSI 설계 도구, 콤퓨터 유희 를 고려하시 오. 
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제 12 장. 암호화 


대체로 10년전까지만 하여도 암호화는 콤퓨터보안에 별로 큰 도움을 주지 못하였다. 
당시 콤퓨터보안은 대체 로 TCB , 참조감시기들, 자유 및 위 임접근조종，보안모형과 체계 
명세의 형식적인 검증과 같은것들이였다. 이러한 견해에서 암호화는 부차적인 문제처럼 
생 각되 였 다. 통과암호를 기 억하는 한방향함수들은 안전조작체 계 에서 리 용되 는 암호화기 
구의 명백한 실례 로 된다. 

오늘날에 와서 사정은 달라 져 암호화는 를퓨터보안에서 제기되는 모든 문제를 해결 
하게 될 수단이 라고 볼수 있다. 그러 나 안전조작체 계는 지난 시기의것과 마찬가지 로 너 
무 비싸고 너무 제한적이며 사용자의 요구에 너무 멀리 떨어 져 있으므로 종식될 운명 
에 놓여 있 다. 암호화가 과연 이 중대한 과제 를 훌륭히 해 결 할수 있겠는가? 


• 완전히 다른 의 도에 서 암호화를 리 용하는 다양한 응용측면을 설명한다. 

• 암호화의 기본개념을 고찰한다. 

• 암호화를 할 때 제기될수 있는 문제들의 형태와 암호화알고리듬을 리용할 때 처리하 
여야 할 문제들의 형태들을 리해한다. 

• 암호화를 지 원하는데 요구되 는 콤퓨터 보안특징 을 설 명한다. 


제1절. 소 개 


암호학 ( cryptography ) 은 비밀 작성의 과학이다. 암호해독 ( cryptanalysis ) 은 암호를 
푸는 과학이 다. 암호공학 ( cryptology ) 은 암호학과 암호해독을 내포하고 있다. 

현대암호학은 매우 풍부한 수학학문이 다. 이 책 에서는 암호학의 세부문제들을 리 해 
하는데 필요한 수학적배경을 론의하지는 않는다. 그대신에 암호학이 콤퓨터보안에서 어 
떻게 리용될수 있는가를 설명하고 종종 콤퓨터보안이 암호학연구를 진행하게 하는 선결 
조건으로 된다는것을 지적하려고 한다. 

1. 낢은 기본모형 

암호화는 원래 통신보호에 기원을 두고 있다. 통신보호라고 하면 그림 12-1 에서 보 
여 준 환경을 념두에 둘수 있다. 두개의 실체 A , 요는 안전성 이 담보되지 않는 통로에서 
정 보를 주고 받는다. 적 측이 이 통로의 정 보를 읽 거 나 지 우고 삽입할수 있 다면 이 통로 
를 마음대로 제 어할수 있는 침 입자로 된다. 두 실체 A 와 B 는 서로 믿는다. 두 실체 A 
와 B 는 침 입자로부터 보호되 기 를 바란다. 
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-쌓 

(、침입자 


그림 12-1. 통신보안 

암호학은 두 실체가 불안전한 물리적접속우에서 안전한 론리적통로를 구성할수 있게 
한다. 이 점 에서 암호학은 지 금까지 고찰한 를퓨터보안기 구들과 기 본적 으로 다르다. 콤 
퓨터 보안기 구들은 모두《 아래 층 》 (layer below ) 으로부터 는 기 능이 파괴 되 기 쉽 다. 그 
러나 물리적인 통신회선에로의 접근은 암호보호를 파괴시키지 못한다. 

분산체계에서는 의뢰기와 봉사기사이의 통신로가 방해를 하려고 하는 침입자들의 새 
토운 공격대상으로 된다. 보호되지 않는 통신회선에 의하여 생기는 약점들은 통신보안의 
관점 에서 볼 때 봉사와 기구들에 의 하여 근본적 으로 없어 질수 있다. 

이러한 봉사들에는 다음과 같은 개념들이 포함된다. 

• 자료기밀성 : 암호화알고리듬들은 통보문의 내용을 숨긴다. 

• 자료완정 성 : 완정 성검 사기능은 문헌 이 변화되 였 는가를 검 출하기 위한 수단으로 
된 다. 

• 자료원본인중: 통보문인증코드 또는 수자식서 명알고리 듬은 통보문의 원천과 완정 성 
을 검증하기 위한 수단으로 된다. 

여기서 말하는 자료완정성은 통신보안에 적합한 실제적인 개념은 아니다. 

통신이라는 측면에서 고찰하면 통보문에는 언제나 발신자가 있다. 통보문을 받았지 
만 누가 보냈는지 모른다고 하면 전송도중에 변화되지 않았다고 어떻게 주장할수 있겠는 
가? 바로 그렇기때문에 통보문의 원천을 대조하지 않고서는 통보문의 완정성을 검증할수 
없다. 한편 통보문이 전송도중에 변경된 통보문의 원천을 검증하였다고 주장하여서는 안 
된다. 따라서 자료원본인증이라는 범주에는 통보문완정성 이 포함되며 여기서 말하는 자 
료완정 성 은 통신 이 아니 라 비 루스제 거 쏘프트웨 어 파일 을 보호하는 응용에 보다 적 합하게 
된 다. 

누가 벗이고 누가 적인가 하는 전통적인 견해는 콤퓨터보안에서 일정한 역할을 하지 
만 암호학을 콤퓨터작업 에 응용하게 하는 주되는 힘 으로는 결코 되지 못한다. 그렇지 만 
아직까지도 이러한 견해는 암호학에 대한 많은 사람들의 인식에서 지배적인것으로 되고 
있다. 이러한 견해는 통신규약을 실현하는 여러가지 검증도구의 원리에도 반영되여 있으 
며 이때 A 와 B 가 규약의 규칙 에 따라 행동하면서 침 입 자의 작용의 영 향을 고려 하기만 
한다. 

2. 새로운 기본모형 

새로운 각도에서 고찰하자.전자상업에서 주문자는 판매자와 함께 업무거래에로 들어 
간다. 두 관계자들이 다 서로 속이는 일은 없다고 볼수 있지만 격렬한 흥정이 있을수 있 
으므로 림시 방편으로 문제를 해결하는것보다도 사전에 서로 합의를 본 규칙 이 있으면 틀 
림없이 더 좋을것이다. 따라서 주문자와 판매자는 모든 정황에서 상대방을 믿을수 있다 
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고 보아서는 안되는 규약을 실행해야 할 리유를 가지게 된다. 이때 반대자는 침입자가 
아니 라 례하면 처 신을 잘못하는 어 느 일 방인데 이 경 우 그림 12-2 의 제 3자가 더 는 침 입 
자로서 가 아니 라 신용 받는 제 3자 ( TTP ) 례 하면 중재 자로 된 다. 비 거 부 ( non ¬ 
repudiation ) 봉사에서 는 중재 자가 언제 론쟁을 해결하는가를 보여 주는 증거물을 발생 
한다. 


| 벼 一 - ◎ - 나 판매자 | 


( TTP ) 


그림 12-2. 전자상업보안 

적지 않은 나라들에서는 원격통신봉사제공자들이 개별적 인 사용자들사이의 통신에 
의 무적 으로 접 근할수 있게 하는 도청권한을 법시 행국이 언제 그리 고 어떻게 줄수 있다는 
것 을 규정하는 법 을 가지 고 있 다. 이제 는 그림 12-3 의 계3자가 합법 적 인 도청봉사를 제 
공 받아야 할 원격통신조작공의 의뢰기 로 된다. 이 런 정황으로 하여 통신량을 암호화하 
는데 리용된 열쇠를 공개시키는 열쇠날인봉사 (key escrow service ) 가 현재 론의되 고 
있 다. 


&- f - Q 


그림 12-3. 통신보안과 법시행 


3. 암호열쇠 

암호작성자들을 자기의 마음에 드는 아이콘들을 자물쇠로 채용하여 그들이 공개로 
넘겨 주는 봉사에 신호를 보낸다. 이것은 현재의 《보안가능한》 Web 열람기 또는 전자 
우편제품의 사용자대면부를 한번 보기만 하여도 곧 확신하게 될것이다. 류사성은 위험성 
을 동반하게 되므로 이것을 지나치게 분석해서는 안되지만 자물쇠제조공으로부터 암호작 
성자에 이르기까지 준수하여야 할 일련의 중요한 개념들이 있다. 문에 자물쇠를 채웠다 
가 열기 위하여 열쇠 가 필요하다. 자물쇠 들은 강도에서 차이 가 있 다. 어 떤 자물쇠 들은 
곁쇠질하기 쉽지만 어떤 자물쇠들은 너무 견고하여 침입자들은 오히려 폭력적인 공격에 
의거하여 문을 뚫고 들어 가거나 완전히 전혀 다른 경로 례하면 창문으로 침입하게 된다. 

암호화알고리듬은 자료를 보호하기 위하여 열쇠를 사용한다. 여기에서도 암호화강도 
는 다양하다. 즉 단순한 통계적방법에 의해 파괴될수 있는 방안으로부터 해석수학지식과 
현재의 계산능력을 훨씬 벗어 나는 방안들이 존재한다. 폭력적인 공격은 전체 열쇠공간 
을 하나도 남김 없이 탐색 하고 알고리듬의 강도에 대 한 상한을 준다. 
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현대암호학은 암호알고리듬의 비밀에 의거하지 않는다. 암호변환에서 쓰이는 열쇠는 
보호를 하여야 할 유일한 항목으로 되여야 한다. 이 원리는 케르흐호프 ( Kerckhoff ) 에 
의하여 지난 세기에 가설로 제기되였다. 이것은 서로 다른 리해관계를 가지는 사용자세 
계에서 준수되여야 하는 새로운 보안기본모형을 설정하는데서 특별히 적합하다. 사실상 
규격 화와 공개알고리 듬의 열 린 평 가방법 은 매 개 동업 자들에 게 자기 의 보안평 가를 진행 할 
기회를 주고 새로운 당사자들이 보다 쉽게 가입할수 있게 하기때문에 이러한 정황에서는 
자연스러운 과정으로 된다. 따라서 가장 일반적 인 의미로서의 열쇠관리는 암호화방안들 
의 보안을 위한 가장 중요한 문제로 된다. 다음과 갈은 물음에 답변을 주어 야 한다. 

• 열쇠가 어디에서 생성되는가? 

• 열쇠가 어떻게 생성되는가? 

• 열쇠가 어디에 보관되는가? 

• 그것들이 거기서 어떻게 엄어 지는가? 

• 열쇠가 실제로 어디에 쓰이는가? 

• 열쇠를 어떻게 해제하고 교체하는가? 

이 점에서 닫긴 고리가 이루어 지고 를퓨터보안에로 돌아 간다. 암호열쇠는 콤퓨터 
체계에 기억되여 있는 자료이다. 콤퓨터체계에서 접근조종기구들은 이 열쇠들을 보호하 
여야 한다. 접근조종이 실패하는 경우에 암호보호는 손상을 입는다. 현재의 방법으로 분 
류되는 대부분의 보안체계들에서 암호알고리듬은 제 일 강한 부분이므로 수가 높은 공격 
자들은 암호해독에 시간을 랑비하는것보다 다른 약점들을 찾아 내려고 한다. 

A 암호학이 보안문제의 해결방도로 되는 경우는 거의 없다. 암호학은 일반적으 
로 통신보안문제 를 열쇠 관리문제 로, 최종적 으로는 를퓨터보안문제 로 넘 기는 
변환기구이다. 결과적으로 문제는 원래문제를 풀기보다 쉬워 진다. 요약하여 
말한다면 암호학은 콤퓨터 보안을 강화할수 있지 만 콤퓨터 보안을 대 신하지 는 



4. 모드연산 

상당히 많은 현대암호화알고리듬들은 대수적원리들에 기초하여 구축되였다. 이 알고 
리 듬들은 타원곡선이 나 갈과체 ( Galois ) 와 같은 흥미 있는 대 수적 구조우에서 정의 될수 있 
다. 그러나 여기서는 조금 더 수준을 낮추어 알고리듬의 서술에서 옹근수만을 리용한다. 
여기서는 모드연산의 기초로 되는 몇가지 기본적인 사실들만 표기한다. 

m 이 옹근수라고 하자. 이제부터는 m 을 나늠수 ( modulus ) 라고 부르겠 다. 이때 옹근 
수모임 우에 서 등가관계 식 =을 다음과 같이 정 의한다. 

a = 公 mod m : 어 떤 옹근수 父 에 대 하여 a ~ b = 父 일 것 이 
필요충분할 때 

이때 《 a 는 m 을 나능수로 하여 6와 등가이다.》고 말한다. =가 옹근수모임을 m 개 
의 등가적인 콜라스로 나누는 등가관계로 된다는것을 검사할수 있다. 

(田) 位 = {b\a = 公 mod m) , O^a^m 
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등가콜라스를 a mod w 으로 표시 하는것 이 관례 이 므로 이 약속에 따른다. 다음과 같 
은 쓸모 있는 성질들을 확인할수 있다. 

(a mod m) + (b mod m) = (a + b、) mod m 
(a mod m) (公 mod m) = (公公) mod m 

또한 p 가 씨 수일 때 모든 a 뉴0에 대 하여 a a * = 1 mod p 가 되 는 옹근수 a l 이 존 
재 한다. 씨수나늠수 p 에 대 하여 p 를 나눙수로 하는 곱하기 차수는 다음과 같이 정의된다. 


정의 : ； 씨수이 고 가 임의의 옹근수라고 하자. p 를 나눙수로 하는 의 곱하기차수 
는 a n = 1 mod p 가 되 는 최 소옹근수로 된 다. _ 

폐 르마소정 리 : p 가 씨 수일 때 모든 a^O mod p 에 대 하여 a p_1 = 1 mod p 를 얻 
는다. 


이 정리는 어떤 령 아닌 원소의 p 를 나능수로 하는 곱하기차수는 p -1 의 인수로 되 
여야 한다는것을 주장한다. 이 사실은 암호화알고리듬의 구성에서는 거의 쓰이지 않는다. 
이 알고리듬들의 보안은 보통 수론의 측면에서 다음과 같은 문제의 어 려움에 관계되며 
몇몇 경우에는 등가로 된다. 

• 리 산로그문제 (DLP): 씨 수인 나늠수 p, 밑수 «， 값 y = a x mod p 가 주어 졌 다면 y 
의 리 산로그 ；<：를 찾으시 오. 

• n 차뿌리문제 : 옹근수 m, n, a 가 주어 져 있을 때 a = b n mod m 으로 되는 옹근수 
스를 찾으라. 풀이 6는 m 을 나늠수로 하는 a 의 «차뿌리 이 다. 

• 인수분해 : 옹근수 «이 주어 졌을 때 그의 씨수인수를 찾으시오. 

파라메터 들을 정 확히 선택하면 이 문제 들은 많은 암호화알고리 듬에 서 적 합한 기 초로 
될수 있다. 그러나 이 문제들이 다같이 풀이를 구하기 힘든것은 아니다. 만일 옹근수 p 
또는 «의 값이 작다면 적 당한 시간내 에 완전탐색에 의하여 이 문제 들이 명백히 해결될수 
있다. 현재 512 bit 옹근수이면 이미 작다고 볼수 있는 정도이며 1024 bit 옹근수가 일반적 이 
라고 말할수 있다. 산수연산시간이 보다 길어 질 때 성능에서의 저하를 허용할수 있다면 
물론 보다 긴 옹근수를 리용할수도 있다. 수의 길이가 고려하여야 할 유일한 론의측면으 
토는 되지 않는다. 이러한 난문계들은 p 와 자의 구조에도 관계된다(보다 깊이 들어 가기 
위해서는 이 책의 범위를 벗어 나 보다 전문적인 도서들을 읽어야 한다). 


제2절. 암호화기구 

암호기 구들은 암호화방안의 기 본구성 블로크이 다. 암호기 구들은 암호화규약에 서 쓰이 
며 열쇠관리가 만족된다고 보고 효과적인 보호를 제공한다. 를퓨터보안에서 제일 많이 
응용되는 암호기구들은 다음과 갈은것들이 다. 

• 암호화알고리듬 

• 수자식서명방안 

• 완정 성 검 사함수 (암호화하쉬 함수) 
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암호학의 전통적인 관례에서 벗어 나 우의 개념들을 반대순서로 소개한다. 


1. 완정성검사함수 

개별적응용의 요구에 따라 암호화하쉬함수를 제기하는 요구에서 미묘한 차이가 있으 
므로 이 절에서는 먼저 하쉬함수 h 의 몇가지 기본특성들을 목록형태로 표현한다. 

• 계 산의 용이 성 : X 가 주어 지 면 ZlOc ) 를 계 산하는것 은 쉽 다. 

• 압축성: 함수 h 는 비트길이가 임의로 되는 입력 x 를 비트길이가 n 으로 고정된 출 
력 가⑴에로 넘긴다. 

• 원상저항성 (한방향) ( pre-image resistance ( one - way )) : 값 : y 가 주어 졌을 때 h ( x ) 
년 ' 가 되는 값 ; c 를 구하는것은 일반적으로 계산상 불가능하다. 

• 2차 원상저항성 (약한 충돌저항성) (2 nd pre-image resistance (weak collision 

resistance )) : 입 력 乂와 함수 h ( x ) A 주어 졌을 때 h ( x ) = h(x ) 이 면서 인 

다른 입 력 ，을 구하는것은 계산상 불가능하다. 

• 충돌저항성 (강한 충돌저항성): h ( x ) - h ( x ’ ) 이면서 인 두 입력 ; c 와; c ’ 를 

구하는것은 계산상 불가능하다. 

조작검 출코드 ( MDC ) (변경 검 출코드 또는 통보문완정 성 코드라고도 한다. )들은 문건에 
로의 변화를 검출하는데 쓰이는데 다음의 두가지 특징 이 있다 [99]. 

• 한방향하쉬함수 ( OWHF ) 는 압축성，계 산의 용이 성，선상저 항성，2차선상저 항성 의 
특성이 있다. 

• 충돌저 항하쉬함수 ( CRHF ) 는 압축성，계 산의 용이 성，2차선상저 항성，충돌저 항성 의 
특성이 있다. 

하쉬함수를 적 용한 결 과 다음과 같이 여 러 가지 로 호출된 다. 


• 하쉬값 

• 통보문기 록집 (message digest ) 

• 검사합 ( checksum ) 

검사합은 충분히 혼돈할수 있는 개념이다. 통신보안에서 검사합은 오유정정코드를 
가리키 며 대 표적 으로는 순환여유검 사 ( CRC ) 코드를 들수 있 다. 이 와는 달리 항비 루스제 
품에 서 리 용되 는 검 사합은 CRC 가 아니 라 암호화하쉬함수 ( MD 必 에 의하여 계 산되 게 된 
다. x 를 함부로 변경 하여서 는 안되 는 프로그람이라고 하자. 깨 끗한 환경 에서 하쉬 값 h ( x ) 
를 계 산한 다음 그것 을 변경 시 킬수 없는 장소에 즉 CD - ROM 에 기 억한다. 프로그람의 
상태를 검사하기 위하여 하쉬값을 다시 계산하고 이것을 기 억된 값과 비 교한다. 하쉬값 
의 보호는 중요한 문제이다. 하쉬값을 계산하는데는 어떤 비밀정보도 요구되지 않으므로 
누구나 다 주어 진 파일에 대하여 타당한 하쉬 값을 만들수 있 다. 

함수 fix ) : = g x mod p 는 파라메 터 p 와 g 를 심중하게 고려하여 선택 하였을 때의 한 
방향함수이 다. 이 함수를 리산제곱이라고 부론다. 리산제곱을 역 변환하기 위 해서는 제12 
장 1절 4에서 소개한 리 산로그문제 를 풀어 야 한다. 리 산제 곱함수는 후에 보게 되 겠지 만 
암호화방식 을 구성할 때 그야말로 유용한 원시함수로 된다. 그러 나 리산제 곱은 연산속도 
가 빠르다고 볼수 없 으므로 방대한 량의 자료를 고속으로 처 리하는 경 우에 는 다른 알고 
리듬을 찾아야 한다. 
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고속하쉬함수들은 흔히 류사한 설계패턴에 따라 구성하여야 한다. 하쉬함수의 핵에 
는 압축함수/ 가 있으며 이 함수는 길이가 고정된 입력에 작용한다. 임의의 길이를 가 
지는 입력 ^를 주어 진 크기의 블로크 자，...，; c m 으로 짜르며 이때 마지막블로크에 불필 
요한 삽입을 해춘다. 그러면 X의 짜르기 (하쉬)는 압축함수를 반복적으로 적용할 때 얻 
어 지게 된다.、을 (고정된)초기값이라고 하자 . i = 에 대하여 

hi = f(xi\ \h i.i) 

을 계 산하고 그림 12-4 에 서 보여 준것 처 럼 /니을 义의 하쉬값으로 한다(기 호 | | 은 련결 을 
표시 한다) . 

통보문인증코드 (MAC) 는 통보문의 원천과 완정성 (자료원본인증)에 대하여 담보한다. 
두 입력, 통보문과 비밀암호열쇠로부터 MAC 를 계산한다. 따라서 MAC 는 때때로 열쇠 
하쉬함수라고 한다. MAC 는 형식적 으로 비밀열쇠 it 에 의하여 파라메터로 표시되는 함수 
족 切이 다. 함수족의 매 개 성 원은 압축속성 과 계 산의 용이 성 이라는 속성 을 가진다. 다음 
과 같은 계 산저 항성 이라는 속성 이 보충적 으로 성 립하지 않으면 안된 다. 

상대 방(적수)에게 알려 지지 않은 어떤 고정된 값 오에 대 하여 U, 切(자))값 
들의 모임 이 주어 져 있다면 어떤 새로운 입력 에 대하여 切 Oc) 를 계산하는 
것은 계산상 불가능하다. 

통보문을 인증하기 위하여 수신자는 송신자와 MAC 를 계 산하는데 쓰이 는 비 밀 열쇠 
를 공유하여야 한다. 열쇠를 모르는 제3부류는 MAC 를 유효하게 할수 없다. 다음과 같 
은 HMAC 구성 을 리용하여 MDC 알고리 듬 ft 로부터 MAC 알고리 듬을 유도함수 있 다. 주 
어 진 열쇠 소와 통보문 x 에 대하여 

HMACOc) = h(k\ \pi | \h(k\ \p 2 \ U)) 

을 계산한다. 여기서 와 p 2 은 비트렬로서 ft 에서 리용된 압축함수의 완전한 블로크길 
이 에 로 소를 확장한다. 



그림 12-4. 하쉬함수의 구성 


안전한 하쉬알고리듬 

안전한 하쉬알고리 듬 (SHA-1) 을 택 하여 실천에서 하쉬함수를 설계 하는 방법 을 설명하 
자. 이 알고리 듬은 미 국수자서 명 규격 (DSA) 으로 동작하도록 설계 되 였 다. 다른 하쉬 함수 
들은 MD4( 강하지 않음)， MD5( 인 터네 트규약에서 규격 선택 ) , RIPE-MD 이 다. SHA-1 은 
512 bit 블로크를 처 리 하고 160bit 하쉬값을 발생한다. 인수들은 옹근수와 비 트렬 두가지 로 
해석된다. 비트렬과 옹근수사이의 변환알고리듬은 이 책에서는 생략하였다. 
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입력은 처음에 1，그다음에 0의 렬을 덧불여 마지막입력블로크의 길이가 448이 되도 
륵 늘어 나게 되며 최종적 으로 64 bit 마당은 끼워넣기전의 입 력길 이를 나타내 고 있다. 초 
기 의 값은 16진수표시 로 주어 진 5개 의 32 bit 값에 의하여 결정 된다. 즉 

A = 67452301 
B = efcdab 89 
C = 98 badcfe 
D = 10325476 
E = c 3 d 2 elf 0 


SHA -1 의 압축함수는 80 걸 음으로 된 순환으로서 512 bit 입 력 을 처 리하여 20걸 음마다 
내부함수와 상수들을 변화시켜 160 bit 길이로 된 출력을 내보낸다. 

내부함수는 다음과 갈다. 


f t (x,Y,z) = (xAy) V (勢세 x) Az) 
f t (X,Y,Z) = X®Y®Z 
f,(X,Y,Z) = (XAF) V(XAZ) V(yAZ) 
f t (X,Y,Z) = X®Y®Z 


t = 0 .19 

t = 20， ..., 39 

t = 40.59 

t = 60, ..., 79 


연산자들은 비 트별 론리 적，론리합，배 타적론리 합이 며 32 bit 단어 에 적 용된 다. 상수들 
은 16진수형태로 다음과 같이 표시된다. 


K t = 5 a 827999 t = 0, ... ，19 

K , = 6 ed 9 ebal t = 20, ... ， 39 

K , = 8 flbbcdc t = 40.59 

K , = ca 62 cld 6 t '= 60,...,79 

압축함수의 시작에서 5 개의 32 bit 변수 a ， b ， c ， d , e 들은 중간적인 하쉬값으로 초기화된 
다. 첫번째 입력블로크에서의 초기값 山公， C , D , 公가 리용된다. 

512 bit 입 력블로크는 16개의 32 bit 단어 때로 부분분할되며 다음의 알고리듬에 기초하 
여 80개의 32 bit 단어 w t 로 확장된다. 

w , = m , t = 0 . 15 

w , = ( w ,. 3 ® w ,- 8 ® w t .u ® vv r - 16 ) «< 1 t = 16,..., 79 

여기서 <<< s 기호는 s 비트 왼쪽으로 순환밀기를 나타낸다. 

이 때 압축함수는 더 하기연산이 2 32 를 나능수로 하여 진행 되 는 다음의 순환을 실행 
한다. 


for t = 0 to 79 do 
begin 

temp = ( a «<5) + f t (b 9 c f d) + e + w t + K t l 
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e = d \ 

c = b «< 30； 
b = a ； 
a = temp ； 
end ； 

최 종적 으로 a ， b ， c ， d，e 변수들에 앞단계 의 중간하쉬값이 더해 지 며 다음블로크를 처 
리 할 때 초기 하쉬값으로 된다. 

2. 수자식서명 

그림 12-1 에 서 통보문인증코드들은 통신통로에 서 침 입 자가 삽입하는 부정 적 인 통보 
문을 검 출하기 위 한 수단으로 되 므로 A 와 B 에 게 도움을 준다. 그러 나 통보문인증코드들 
은 제3자가 A 또는 B 가 개별적으로 통보문을 보내겠는가를 결정하는데 리용할수 있는 
증거 로 되 지 못한다. 따라서 통보문인증코드들은 주문자에게 는 판매 자가 주문을 날조할 
수 없 다는 보증이 필요하며 반대 로 판매 자에게 는 주문자가 주문의 신용을 지 켜 야 한다는 
보증이 요구되는 그림 12-2 와 같은 전자상업체계 에서는 거의 쓰이지 않는다.전자상업과 
같은 경우에는 수자식서명이 필요하다. 

수자식서명방안은 서명알고리듬과 검증알고리듬으로 이루어 져 있다.문서의 수자식 
서명은 문서의 내용과 서명자에게만 알려 져 있는 어떤 비밀에 의존하는 값이다. 즉 비 
공개열쇠 는 문서 를 공개 검 증열쇠 인 실체 와 련관시키 고 있다. 검 증알고리 듬은 보통 문서 
와 공개검증열쇠를 입력으로 선택하지만 문서 또는 문서의 일부분이 서명으로부터 회복 
될수 있는 경우에는 례외로 되므로 문서는 서명검증에 제공되지 말아야 한다. 다음의 검 
증능력의 속성은 수자식서명을 특징 짓는다. 


규칙 : 제3자는 서 명 자의 비 공개열쇠를 알아야 한다는 전제 가 없이 도 수자식서명의 
유효성 에 대 한 론쟁을 해결할수 있다. 


수자식서 명 들은 비거 부를 지 원한다. 공개열쇠암호화(제12장 2절 3) 는 수자식서 명방 
안을 위한 자연적 인 원천으로 된다. 수자식 서 명방안에 서 비 공개 서 명열쇠 와 공개 검 증열쇠 
사이에는 검증열쇠로부터 서명열쇠를 계산상 이끌어 내지 못하도록 련결한다. 기초적인 
수학적기 술이 류사함에도 불구하고 수자식서명 과 공개열쇠암호알고리 듬사이 의 계선을 명 
백히 그어 주어 야 한다. 수자식서 명과 공개열쇠암호는 기 본적 으로 서 로 다른 목적 을 추 
구한다. 암호화는 통보문의 기밀성을 보호하므로 가역적으로 되여야 한다. 수자식서명은 
자료원본인증과 비 거 부를 제 공한다. 수자식서 명알고리 듬은 가역 적 으로 될 필요는 없 다. 
사실상 가역 성 에 의해 보안에 관계 되 는 문제 가 첨 부된 다. 

1 회서 명 

서 명방안을 구성 하기 위하여 그 어 떤 환상적 인 수학이 필요한것 은 아니 다. 1회 서 명 
을 얻기 위 하여서는 다만 암호화하쉬함수 A [81] 가 요구될뿐이 다. 

n-bit 문서 를 서 명 하기 위 하여 우연적 으로 2«개 의 값 X ,- o , 자,!을 선택 함으로써 비 공 
개 열쇠 를 따내 고 에 대 하여 yt,o = h ( x u 0 ) 과 yu i = ftCtu ) 을 공개 열쇠 로 공개 한 

다. 이때 문서 하에 대한 서명 s 의 /번째 부분은 다음과 같이 주어 진다. 
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명백히 비공개열쇠를 다시 리용할수 없다. 이로부터 《1회서명》이라고 부론다. 검 
증자는 공개열쇠를 가지고 있으며 다음과 같은 검사를 한다. 

九 0 = h ( si ) , nti = 0 일 때 

九 0 = h ( si ) , m t ¥ 'l 일 때 

검 증자가 九。，九: 의 값들이 진짜 공개열쇠 로 되 고 있는가를 확신하기 위하여 보충 
적인 증거물을 요구한다는것이 결함으로 되고 있는데 이것은 제12장 4절에서 보겠다. 

더우기 수학적문제의 복잡성 이 나 어 떤 다른 암호화방법 의 강도에 의거할 대 신 함부 
로 손 대기 힘든 하드웨 어장치의 복잡성 에 의거할수 있다. 이 장치 에는 비밀서명열쇠 와 
비밀검증열쇠들 또는 둘중 어느 하나가 포함되여 있다. 이 장치는 검증을 위한 서명열쇠 
또는 서명을 위한 검증을 사용할수 없도록 구성된다. 문서를 서명하기 위하여 이 장치는 
자기의 서명열쇠를 리용하여 MAC 를 구성하며 그것을 문서에 첨부한다. 이 서명을 검증 
하기 위하여 검 증자의 장치 는 서명 자의 서 명열쇠를 검증열쇠 로 보관하였다가 이 열쇠 를 
사용하여 MAC 를 구성하고 그것을 수신한 서명과 비교하여야 한다. 

엘 가말서명과 DSA 

엘 가말 (El Gamal ) 서 명 방안은 서 명 하는것 이 곧 비 공개 열쇠 에 의 한 암호화로 되지 
않는다는것을 보여 준다 [45]. p 가 적당히 선택된 큰 씨수라고 하자. 요가 끄를 나능수로 
p -1 차의 옹근수라고 하자 .a 가 사용자 A 의 비 공개서 명 열쇠 이 고 = g a mod p 가 대 응 
하는 공개검증열쇠라고 하자. 

서명되는 문서가 0 m ^ p 인 어떤 옹근수 m 이라고 가정하자. 그렇지 않는 경우 
에 는 적 당한 하쉬함수를 적 용하여 문건기 록집 을 서 명할수 있다. m 을 서 명 하기 위하여 
사용자 A 는 g , cd ( k , p ~ l ) = 1이 되는 우연수 소를 0따드/>에서 선택 한 다음 r = g k mod 
P 를 계산하고 $를 모르는 수로 하여 다음의 방정식을 푼다. 

a • r + k • s = m mod { p ~ V ) 

( r ， s ) 의 쌍은 m 에 대한 A 의 서명을 이룬다. 검증자는 A 의 검증열쇠 八<를 요구하며 
다음의 식을 검사한다. 

? 

yj ' r s = g m mod p 

서명이 정확하다면 방정식 

y /. / ^ g ^- r+k - s) = g m modp 

가 성립한다. 이 방법에서 보안은 리산로그문제와 밀접히 관계되지만 등가적으로는 되지 
않는다. 

엘 가말서명방안으로부터 보다 안전하면서도 보다 효과적인 여러가지 서명방안들이 
유도되 였는데 대 표적 으로 수자식서 명알고리 듬 ( DSA ) [116] 을 들수 있다. 

이 방안에서는 사용자 A 의 비 공개 및 공개 열쇠들은 다음과 같이 생성된다. 



1. 2 159 <9<2 160 이 되는 씨수 요를 선택한다. 

2. 상가 p 로 나누어 지 도록 0드^8인 옹근수 호와 2 (159+64t) <p < 2 (512+64f) 인 씨 수 

를 선정 한다. 

3. 1< a < p ~ l a l 상를 선택 하고 g = a ( p 비 1 q mod p 를 계 산한다. 

g = 1이 면 새 로운 상를 가지 고 다시 해 본다. 

(이 단계에서는 차수가 상이고 를 나늠수로 하는 발생자 모를 계산한다.) 

4. 1표今？^-1인 a 를 선택한다. 

5. y = g a mod p 를 계 산한다. 

6. A 의 비 공개열쇠 는 값 a 이 고 공개열쇠 는 (夕，상， g ，>0 이 다. 

A 가 문서 m 에 서명을 하도록 하쉬값 / z ( w ) 은 SHA -1 에 의하여 계산되며 옹근 
수로 변환한다. 그러면 

7. l & k ^ q-l 인 옹근수 k 를 우연적 으로 선택한다. 

8. r = ( g k mod p ) mod q 를 계 산한다. 

9. k 1 mod q 를 계산한다. 

10. s = k 1 ( h ( m)+a • r ) mod 公를 계 산한다. 

m 에 대 한 A 의 서명은 ( r ， S ) 의 쌍이 다. 서명은 다음과 갈은 항목으로 A 의 공개 열 
쇠 ( p , 요，요，； y ) 에 의한 검사를 진행한다. 

• lg^q 이면서 인가를 검증한다. 

• w = s _1 mod 당를 계산한다. 

• mi = w • him ) mod 公와 U2 = r • w mod 公를 계 산한다. 

• v = { g uX y u2 mod p ) mod 公를 계 산한다. 

• v = r 가 필요충분할 때 접수한다. 

RSA 서명 

RSA 알 고 리 듬 [127] 은 발명 자 들 인 리 베 스 트 ( Rivest ) ，샤 미 르 ( Shamir ) ，애 들 맨 
( Adleman ) 의 이름을 딴것이며 서명과 암호에 다같이 리용될수 있다. RSA 의 바로 이러 
한 특유한 성질은 현재 널리 류행되고 있는 수자식서명과 공개열쇠암호에 대한 여러가지 
그릇된 견해를 비판하고 있는 요인으로 된다. RSA 서명 방안에서 사용자 A 는 두개의 씨 
수 p 와 q 를 선택 한 다음 gcd ( e , p - l ) = 1, gcd ( e , 요- 1) = 1이 되는 비공개서명 열쇠 e 를 
찾는다. 공개검증열쇠는 적 n = p q 과 

e • d = 1 mod lcm ( p - l , 상- 1) 

로 되 는 지수 d 로 구성된다.서명 할 문서는 l ^ m < n 인 옹근수 m 이 다. 문서 에 는 검증자 
가 문서가 진짜인가를 식별할수 있도록 여분의 정보가 충분하게 들어 있어야 한다. 원본 
문서 가 너무 크다면 하쉬함수를 적용하고 서명 에 대 한 기록집을 얻기 위하여 정보를 덧 
붙일수 있다. m 을 서명 하기 위하여 A 는 다음과 같이 서명을 형성한다. 


m e mod n 
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검 증자는 A 의 검 증열쇠 ( n , 必를 요구하고 다음과 갈은 관계 가 성 립 하는가를 검 사한다. 


V 

s d = m mod n 

서명이 정확하다면 우의 방정식은 만족된다. 그것은 
s d = m 니 • d 、 = m mod n 


이 만족되기때문이다. 

문서의 크기가 작으면 서명으로부터 회복할수 있으므로 따로따로 전송해서는 안된다. 
RSA 보안은 인수분해의 복잡성에 밀접히 관계되지만 등가는 아니다. 

RSA 가 씨수로 되는 경우와 같은 일련의 서명방안에서는 서명검증이 특별히 빨라 
지 도록 공개 검 증열쇠 를 선택해 줄수 있 다. 그림 12-5 에서 보여 준 표는 적 절히 빠른 기 
계 에서 인수길 이 가 1024 bit 인수에 대 한 DSA 와 RSA 의 성 능과 서명 하는데 요구되는 품 
의 개략적인 비교결과를 보여 준다. 



RSA-1024 

DSA 

초당 발생되는 열쇠수 

적다 

50-140 

초당 서명의 회수 

10-50 

50-100 

초당 검증의 회수 

500-2000 

50-100 


그림 12-5. RSA 와 DSA 의 비교 


3. 암호화 

지금까지 우리는 자료의 기밀성을 보호하는 알고리듬을 위하여 암호화라는 용어를 
남겨 두었다. 암호화알고리듬(암호기라고도 부른다.)은 암호화열쇠의 조종하에서 평문을 
암호화한다. 해 당한 복호열쇠를 가진 복호화에 의해 암호문으로부터 평문이 회복된다. 
일부 암호화알고리듬들은 완정성검사를 하는 수단을 제공하지만 언제 나 그렇게 되는것은 
아니다. 서술된 서명알고리듬을《비공개열쇠가 있는 암호화》라고도 생각할수 있지만 
이러한 견해는 흔히 틀린것으로서 언제나 그릇된 결과를 초래한다. 이 절에서는 제10장 
2절 1과 같은 표기 법을 사용한다. 

• eK(X) : 열쇠 포가 주어 진 조건에 서 암호화된 평 문 표를 나타낸 다. 

• dK(X) : 열쇠 포가 주어 진 조건에서 복호화된 암호문 표를 나타낸다. 

암호화알고리 듬에는 두가지 종류가 있다. 대 칭암호화알고리 듬에 서는 암호화와 복호 
화에 쓰이는 열쇠는 갈으며 이것을 비밀로 하여야 한다. 같은 열쇠를 공유하는 모든 관 
계자들은 서로 암호로 된 자료를 읽을수 있다. 서로 다른 관계자들이 비공개통로를 설정 
하기 위 해서 는 통로마다 새 로운 열쇠 가 필요하게 된다. 방대한 량의 공유된 비밀열쇠를 
유지 하는것 은 아주 시끄러 운 관리 과제 로 될수 있 다. 
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비대칭암호화알고리듬(이것을 공개열쇠알고리듬이라고도 한다.)에서는 서로 다른 열 
쇠들이 암호화와 복호화에 쓰인다. 암호열쇠는 공개로 할수 있지만 복호열쇠는 비공개로 
되여야 한다. 알고리듬의 측면에서 두개의 열쇠들이 련계가 있다는것은 명백하지만 공개 
열쇠로부터 비공개열쇠를 이끌어 낼수 없도록 되여 있어야 한다. 대칭암호화체계와 공개 
열쇠 암호화체 계를 구별하기 위 하여 대칭체 계 라는 의미 에서만 비밀열쇠 , 비대 칭체계 라는 
의미에서만 비공개열쇠라는 용어를 사용한다. 

비밀열쇠암호화체계에서 보안관리과제는 명백히 정확한 열쇠가 정확한 장소에 들어 
가게 하는데 있다. 공개 열쇠 암호화는 관리를 훨씬 쉽게 하는것으로 생각된다. 결국 공개 
열쇠들은 공개되여 있으므로 보호할 필요가 없다. 이렇게 하지 않으면 공개열쇠들이 동 
작할수 있겠는가? 

공개 열쇠 암호화를 리용하여 어떤 문서를 암호화하는 경우 아마도 누가 암호화된 문 
서를 읽을수 있는가를 알아 두어야 할것이다. 보다 일반적으로 말하여 비공개열쇠들은 
당사자들을 인증하거나 또는 실례로 문서를 읽기 위하여 접근권한을 운반하는 사명을 수 
행한다. 이때 공개열쇠와 접근권한사이의 회선 또는 대응하는 비공개열쇠와 관계되는 당 
사자들사이의 회선을 담보하는것 이 기본과제로 된다. 바로 이 목적을 위하여 받아 들인 
것 이 보증서 들이 며 제12장 4절 에 서 론의한다. 

암호화알고리듬들은 다시 블로크암호와 흐름암호로 구분할수 있다. 이것을 구분하는 
데는 다음의 두가지 기준이 있다. 

• 블로크크기 : 블로크암호는 보다 많은 자료블로크，대표적으로 64 bit 블로크들을 복잡 
한 암호화함수를 리용하여 암호화한다. 블로크암호들의 보안은 암호화함수의 설계 
에 관계된다. 흐름암호는 보다 적은 자료블로크, 대표적으로 비트나 바이트를 실례 
로 비 트별 배 타적 론리합과 같은 단순한 암호화함수를 리 용하여 암호화한다. 이 구 
별은 모호해 져 명백한 계선이 없다. 16 bit 블로크를 아직도 큰 블로크로 보겠는가? 
언제면 암호화알고리듬이 간단하다고 볼수 있는가? 

• 열쇠흐름: 블로크암호는 동일한 열쇠밑에서 동일한 문서에 속하는 블로크들을 전부 
암호화한다. 흐름암호는 끊임 없 이 변화되 고 있는 열쇠흐름밑 에 서 암호화를 한다. 
흐름암호의 보안은 열쇠흐름발생기의 설계에 기대를 걸고 있다. 이 정의에 따르면 
귀 환방식 으로 된(아래 에서 설명 ) DES 는 흐름암호로 분류될수 있다. 

자료암호화규격 

자료암호화규격 ( DES ) 은 대 칭 블로크암호알고리 듬중에 서 고전적 인 방식 이 라고 볼수 
있다. DES 는 1970년대에 미국정부규격으로 기밀에 속하는 정보를 보호할 목적으로 개 
발되 였 으며 련 방정 보처 리 규격 으로 공개 되 였 다 [114]. DES 는 56 bit 열 쇠 의 조종하에 서 64 
bit 평문블로크들을 암호화한다. 매개 열쇠는 기우성바이트에 의하여 64 bit 작업열쇠로 확 
장된 다. 대 부분의 블로크암호알고리 듬에 서 와 마찬가지 로 DES 는 페 이 스텔 ( Feistel ) 의 원 
리 에 기초하고 있다. 페 이스텔암호기는 둥그리기연산과 같은 기본걸음을 반복한다. 둥그 
리기 /의 입력을 私와 爲 로 절반씩 가르고 출력을 다음과 같이 계산한다. 

L |■出 '= /?,' 

Rm = ^ © F(K„R,) 

여 기서，는 어떤 비선형 함수이며 民는 그 둥그리 기의 부분열쇠 이 다(그림 12-6). 

이 연산의 역변환은 동일 한 회 로에 의하여 계 산될수 있 다. 즉 
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Ri = Li+l 

Lj = Rj+i ® F(Ki ， L ，■+ i ) 

DES 에 서 비 선형함수 F 는 32 bit 입 력 兄를 48 bit 블로크로 확장하여 48 bit 부분열 쇠 K t 
와 비트별 배 타적론리 합을 계산한다. 이 중간결과를 8개의 6 bit 블로크로 나누고 

Li Ri 

K t 


Li+l Ri+l 

그림 12-6. 페이스텔원리 

이 것 들을 8개 의 "통(치 환통)의 입 력 으로 리용한다. 매 개 "통은 자기 의 6 bit 입 력 을 4 
bit 출력으로 변환한다. 5통들의 출력을 P 통(순렬통)으로 지나보내면서 32 bit 입력에 비 
트별 순렬연산을 하여，인 결과를 준다. 

DES 에는 이러한 둥그리기장치가 16개나 있다. 매개 둥그리기장치는 56 bit DES 열 
쇠 로부터 유도되는 서 로 다른 48 bit 부분열쇠 馬를 사용하고 있다. 첫번째 둥그리 기장치 
의 입력은 초기순렬 / P 에 의하여，마지막둥그리기의 출력은 역순렬 /戶ᅴ에 의하여 처리 
된다. DES 의 개략적인 체계를 그림 12-7 에서 보여 주었다. 이 그림에서는 구체적인 열 
쇠 순서작성알고리 듬，확장방안，"통과 순렬 과정 을 생 략하였 다. 

DES 가 1970년대 에 규격 화되 였을 때 《 유효수명》은 15년 이 라고 보았다. 그러 나 
DES 는 아직까지도 광범히 사용되고 있으며 특히 상업 및 재정분야에서 널리 쓰이고 있 
다. DES 보안에 대한 주되는 도전은 새로운 암호화기술이 아니라 그의 열쇠크기에로부 
터 오고 있다. 오늘날 56 bit 열쇠공간을 완전탐색하는것은 특별한 장비 가 없이도 가능하 
다. 워크스테 이션의 성능은 해마다 계속 높아 지고 있으며 콤퓨터망의 보급으로 암호해 
독애 호가들이 더 많은 자원들을 리용할수 있게 된 다. 워 크스테 이 션의 성 능이 고정 되 여 
있으면 56 bit 열쇠는 수십년이나 몇세기가 아니라 몇주일이나 몇달정도 존재할수 있다고 
기 대할수 있 다. 

다중암호화는 알고리듬을 변화시키지 않고도 열쇠크기를 확장한다. 3개의 56 bit 열 
쇠 를 리용하는 3중 DES 를 선택하면 편 리하다. 가장 널 리 보급된 DES 의 변종은 두개 의 
56 bit DES 열쇠를 사용한 체 계 라고 볼수 있다. 그것은 이 체계 가 하나의 DES 와《뒤방 
향호환성》을 가지고 있기때문이 다. 이 방식에서는 두개의 56 bit DES 열쇠 的과 K 2 를 
리용하여 평문 모를 다음과 같이 암호화한다. 
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C = eK l (dK 2 (eKi(P))) 



블로크암호방식 

블로크암호들은 다양한 암호화방식 에 서 리 용될 수 있 다. 전 자부호책 ( ECB ) 방식 에 서 는 
동일 한 열쇠밑 에서 매 개 평 문블로크들이 폭립적 으로 암호화된다. 이 방식 에서 는 평문에 
대한 정보가 루실될수도 있다. 평문블로크가 반복된다면 이것을 암호문에서 두드러 지게 
나타나게 한다. 이 방식에서는 또한 완정성보호는 아주 제한되게 된다. 복호화에서는 암 
호문블로크의 순서가 변화되였는가，일부 블로크들이 탈락되고 있는가，블로크들이 이미 
중복되였는가를 검출하지 않는다. 



암호블로크련쇄 방식 ( CB 必 에서 는(그림 12-8) 앞단계 의 암호문블로크 G - i 이 암호화 
하기 전에 다음평 문블로크 뱌에 더 해 진다(비 트별 배 타적 론리합) . 즉 
Q = eKiP^Q-d 

따라서 반복된 평문블로크들은 반복된 암호문블로크로 두드러 지게 나타나지 않는다. 
첫 번째 평 문블로크 에서 초기벡 토르는 Cb 으로 리 용된다. 비록 많은 응용들에서 초기벡 
토르를 비밀로 하는것은 보안의 필요조건으로 되지 않는다고 해도 일반적으로 초기백토 
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르를 비밀로 하고 있다. 두개의 평문이 동일한 블로크로 시작하는것을 관측자가 검출할 
수 없도록 하기 위하여 매개 통보문에 대한 초기벡토르를 변화시켜야 한다. 초기벡토르 
는 첫번째 암호문블로크의 복호화에서 요구된다. 암호문블로크 다는 다음과 같이 복호화 
된 다. 



그림 12-8. 암호블로크련쇄방식 


Pi = Q - 쎄 ( Q ) 

만일 암호문블로크가 더럽혀 졌다면 《손상》은 다만 두개의 평문블로크로 제한된 
다. 푠 이 C ; 대 신 에 리용된 다고 하자. 

Pr C u ®dK(C 쇼 

P M = Ci®dK(C i+ i) 

의 조작을 한 다음 정상적 인 복호화봉사를 계속한다. 



그림 12-9. 출력귀환방식 


출력귀 환방식 ( OCB ) (그림 12-9) 에서는 블로크암호를 흐름암호의 열쇠흐름발생 기 로 
리 용한다. 이 방식 에서는 평 문은 암호기알고리 듬의 블로크크기보다 작은 덩 이 로써 처리될 
수 있다. 등록기 는 암호함수의 입 력을 기 억한다. 이 등록기의 초기내 용은 초기벡 토르에 
의하여 결정된다. 평문덩 이를 암호화하기 위하여 이것을 암호화함수의 출구로부터 오는 
부분블로크에 (비 트별 배 타적 론리합) 더한다. 암호화함수의 출력 은 옮김 등록기 에 로 귀 환 
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된다. 복호화는 암호화과정과 완전히 같다. 초기벡토르는 매 통보문에서 변화되지만 이 
것을 비밀로 보관할 필요는 없다. 암호문블로크 Q 의 전송과정 에 발생하는 오유는 대응 
하는 평문블로크에만 영향을 준다. 따라서 공격자는 대응하는 위치에 있는 암호문을 변 
화시 킴 으로써 평문비 트를 선택 적 으로 변경시 킬수 있다. 

암호귀 환방식 ( CFB ) (그림 12-10) 에서는 블로크암호를 리 용하여 자료의존형 열쇠 흐름 
을 발생한다. 이 방식에서도 평문은 암호기알고리듬의 블로크크기보다 작은 덩이로 처리 
할수 있다. 이 방식 에서 앞단계의 암호문블로크는 옮김등록기에 귀환된다. 옮김등록기의 
내 용이 암호화되 며 이 암호문의 부분블로크가 다음평문덩 이 에 더해 진다(비 트별 배 타적 
론리합) . 복호과정은 암호화과정 과 완전히 같다. 이 방식 에서는 매 통보문마다 초기백 토 
르를 변화시켜 주어야 한다. 초기벡토르는 첫 암호문블로크를 복호화하는데 필요하며 비 
밀을 보관할 필요는 없다. 암호문블로크의 전송오유 또는 변경은 수신측의 암호화기능을 
수행하는 옮김등록기에 변경된 블로크가 남아 있을 때까지 복호화에 영향을 주게 된다. 



RSA 암호호 F 

설정 은 RSA 서 명방안으로부터 잘 알수 있다. RSA 가 공개열쇠암호화알고리 듬으로 
쓰이 는 경우 사용자 A 는 두개의 씨수 p 와 상 그리고 gcd ( d > jP - l ) = 1, g , cd { d , q - l ) = 1 로 
되는 비공개복호화지수 々를 고론다. 공개암호열쇠는 적 «=/?•상와 지수 e 로 이루어 진 
다. 즉 


[ lcm ( p - l ， 公- 1) 


매개 블로크는 «보다 작은 어떤 옹근수로 되는 블로크로 통보문을 분할하여 야 한다. 
통보문블로크 m 을 A 에 전송하기 위하여 송신자는 다음식 을 계 산한다. 


c = m e mod n 


이때 수신자 A 는 비공개복호열쇠 々를 리용하여 다음의 결과를 얻는다. 
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엘 가말암호화 


c d = m (ed> = m mod 


엘 가말 (El Gamal ) 공개열쇠 알고리듬에서 p 는 적 당히 선택된 큰 씨수이며 g 가 p 를 
나늠수로 하는 차수가 큰 옹근수라고 하자. a 가 사용자 A 의 비공개복호열쇠이고 y a = 
g a mod p 가 대 응하는 공개 암호열 쇠 라고 하자. 매 블로크가 p 보다 작은 옹근수로 되 는 
블로크로 통보문을 분할하여 야 한다. 통보문블로크 m 을 A 에 전송하기 위하여 송신자는 
우연수 오를 선택 하고 r = g k mod p 를 계산하여 다음과 같은 암호문을 A 에 보낸다. 

( ci , c 2 ) = (r，m y^) 

비 공개복호열 쇠 에 의하여 A 는 통보문블로크 m 을 엄 는다. 즉 
c 2 / ci = my„ / r a ■ ■生 mg ak / g ak = m 

이 방식에서는 암호문의 블로크가 평문블로크에 비해 길이가 2배로 된다.한편 두개 
의 평문블로크들이 같다고 해도 대응하는 암호문블로크들은 서로 다르다. 우연수 k 는 
한가지 암호화에 서 만 사용되 여 야 한다. 우연수들을 다시 리용하면 암호기 의 성 능을 치 명 
적으로 약화시킬수 있다. 


제3절. 열쇠설정규약 

암호화알고리듬을 리용하기전에 모든 열쇠들은 제자리에 설치되여 있어야 한다. 

물론 이것은 우편으로 문자들을 송신하거나(실례로 신용카드에 대하여 PIN 을 배포 
하는 일반적방법 ) 또는 비밀정보를 제 공하는 사람을 싸이트들에 보내 여 열쇠를 송달함으 
로써 실현될수 있다. 이러한 제안들은 안전상 측면에서나 가격상 측면에서 좋다고 말할 
수 없 다. 열쇠 관리 를 현존하는 기 본통신구조에 기 초하여 진행하도록 하는것 이 리상적 이 
라고 볼수 있다. 다른 규약에서도 리용할수 있도록 열쇠를 설정하는 암호화규약을 열쇠 
설정 규약이라고 부론다. 일부 열쇠 설정 규약들에 는 공유열쇠 의 설정 을 바라는 관계 자들만 
포함시키고 있다. 그밖의 열쇠설정규약들에서는 믿음성 있는 계3자에게도 봉사를 요구하 
고 있 다.이 두가지 경 우를 구별 하기 위하여 다음과 갈은 규약을 론의 할수 있 다. 

• 열쇠동의규약: 제3자의 방조가 없이도 열쇠를 설정한다. 

• 열쇠전송규약: 제3자에 의하여 열쇠는 생성되고 배포된다. 

암호화규약을 수학적 인 세부로 분석해 보면 내부사람이 위 협 행위를 할수 있게 하는 
《 약한》열쇠 들의 부분모임 이 존재 한다는것 을 알아 낼수 있 다. 따라서 열 쇠교환규약을 
설계할 때 에 다음의 두가지 질문에 대 답을 주어 야 한다. 

• 약한 열쇠가 설정되여 있다면 어느 대상이 피해를 보겠는가? 

• 어느 대상이 열쇠의 선정을 조종할수 있는가? 

만일 그릇된 행동을 하는 내 부사람이 약한 열쇠 가 선정 되 도록 열쇠발생 에 영 향을 줄 
수 있다면 내 부사람이 공격할수 있는 여지 가 있을수 있 다. 현재 까지의 연구문헌에 의하 
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면 열쇠 설정 규약의 선정 방법 의 폭은 넓 다. 다음에 열쇠 설정 규약에 기 본적 인 영 향을 주는 
두가지 대표적 인 규약들을 제시 한다. 


1. 디표卜헬만규약 

디 피-헬만 ( Di 打 ie - Hellman ) 규약은 열쇠 동의 규약으로서 [41] 비 밀을 공유하지 않는 
두 관계자 A 와 B 가 공유된 비밀열쇠를 구성하고 있다. 

p 가 적당히 선택된 큰 씨수이고 요가 p 를 나늠수로 하는 높은 차수의 원소라고 하자. 

관계자 A 가 우연수 a 를 선택하고 凡 = ' 를 公에 보낸다. 

관계 자 B 는 우연수 6를 선택 하고 y b = /를 A 에 보낸 다음 : y / 를 계산한다. 

y a b = g ab = g ba =y„ a 

이므로 량측이 다 비밀 를 공유하고 있다. 자그마한 문제가 있다. 즉 어느 관계자도 
자기가 누구와 비밀을 공유하고 있는가를 알지 못하고 있다. 초기의 약속을 실현시키기 
위해서는 규약에 인증을 첨부하지 않으면 안된다. [4 幻로부터 국사이 ( stati 이!- station ) 
의 규약에 기초하여 이것을 다음과 같이 진행한다. 공유된 대화열쇠 표 M 목/ 6 를 설정하 
는 디 피 -헬만 ( Diffie - Hellman ) 교환외 에 도 이 규약은 암호알고리 듬과 서 명알고리 듬을 리 
용한다. 규정되여 있는 특정의 알고리듬은 없다. 아래 에서 兄와 S b 는 보와 B 의 서명 
열쇠들이며 s 쇼와 s 화는 이 열쇠들밑에서 발생된 서명을 나타낸다. 이때 순서는 다음과 
갈다. 

걸음 1. A^B ： g a 

걸음 2. B^A ： g b , eK(sS b (g b ,g a )) 

걸음 3. A^B ： eK(sS a (g a ,g b )) 

걸 음 1 에 서 A 는 우연수 a 를 선정 하여 디피 -헬 만열쇠교환을 기 동한다. 그다음에 /를 
받고 B 는 우연수를 선정 하고 대 화열쇠 K' =， 6 를 계 산한다. 걸 음 2를 실 행한후에 A 는 
디피 -헬 만열 쇠교환의 자기 의 부분을 완료하고 소를 도출한 다음 B 통보문의 두번째 부분 
을 복호하고 묘의 서명을 검증할수 있다. 마지막통보문이 도착한 다음에 B 는 A 의 서명 
을 복호하고 검증할수 있다. 

2. 니드햄-슈릐더규약 

니 드햄 -슈뢰 더 ( Needham — Schroeder ) 규약은 열쇠 전송규약이 다 [11 的、，，두 관계 자 A 
와 묘는 봉사기로부터 자기의 대화열쇠를 얻는다. 초기에는 둘 다 비밀열쇠를 봉사기로 
써 공유한다. 암호화에 대 칭암호기 가 리 용된다. 림 시 값(우연적 인 도전들)들이 응답공격 
을 막기 위하여 통보문에 포함된다. 이 규약에서는 다음과 같은 약속기호들이 쓰인다. 

K as A 와 B 에 의 하여 공유되 는 비 밀 열 쇠 

K bs B 와 '가 공유하는 비밀열쇠 

K ab 보와 B 사이 의 사용을 위하여 "에 의하여 창조된 대 화열쇠 

N a , N b 보와 에 의 하여 각각 발생 된 림 시 값 
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그림 12-11 은 실체 A 가 봉사기 S 로부터 B 와 통신하려는 대화열쇠 ‘를 요구할 
때 진행되는 걸음들을 보여 주고 있다. 



CZ3 


그림 12-11. Needham-Schroeder 규약 


걸음 1. 

A 서: 

A,B,N a 

걸음 2. 

네: 

eK as (N a , 公， K ab , eK bs (K ab ， A )) 

걸음 3. 

A^B ： 

eK bs (K ab , A) 

걸음 4. 

B—A: 

eK ab (N h ) 

걸음 5. 

A—B: 

eK ab (N b -l) 


이 규약의 앞의 3걸음에서 A 는 "로부터 대화열쇠를 얻고 그것을 B 쪽으로 보낸다. 
봉사기통보문으로 되돌려 진 림시값 N ， 검사함으로써 A 는 대화열쇠가 최근의 요구에 
응답하여 발생되 였으며 이전 규약의 응답공격 이 아니 라는것을 검증할수 있다. 마지막 두 
걸음에서 B 는 A 가 현재 동일한 대 화열쇠 를 사용하고 있다는것을 검 증한다. 

니 드햄-슈뢰더규약의 보안에 대 한 세부적분석과 여 러 가지 보다 구체적 인 보안문제들 
은 이 책의 범위를 벗어 나므로 여기서는 론의하지 않는다. 


제4절. 보증서 

국사이의 규약을 론의 할 때 우리는 한가지 중요한 세부를 고찰하지 않았다. 

A 와 B 는 자기들이 서명을 검사하기 위하여 리용하고 있는 검증열쇠가 정확하다는것 
을 어떻게 알것인가? 암호화열쇠와 《신원》을 련결시키는 믿음성 있는 원천이 있어야 
한다. 대칭암호기 에서 관계 자 A 와 묘는 봉사기를 믿고 이 러한 련계를 만들어 낸다. 공 
개 열쇠 암호기 들과 서 명 방안들은 흔히 보증서 들에 근거 하고 있 다. 

보증권한부여 ( CA ) 는 사용자이름，열쇠，◦쇼의 이름，유효기간 등을 포함하고 있는 
문서를 서명함으로써 사용자와 암호열쇠사이의 련계를 보증하고 있다. 보증서의 정확한 
형식을 나타내고 있는 제안들은 여러가지이지만 가장 대표적인것이라고 볼수 있는것은 
X .509 Directory Framework 에서 리용되는 형식이다 K 7]. 이 형식들은 자기들이 포함 
하고 있는 마당에서 일부 내용(개별적마당의 크기)에서 어느 정도 차이가 있다. 보증카 
드를 효과적으로 처 리하는것과 광범 한 응용을 위하여 유연성을 보장하는것사이에는 공학 
적 으로 볼 때 이 률배 반관계 가 성 립 하게 된 다. 
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어떤 이름을 암호열쇠와 결합시키고 있는 보증서들은 통신보안에 기원을 두고 있다. 
사용자들은 자기와 지금 말하고 있는 사람이 누구인가를 알려고 한다. 를퓨터보안에서는 
호출자의 신원보다도 호출자의 접근권한을 아는것이 일반적으로 더 중요하다. 물론 보증 
서를 리용하여 호출자를 인증한 다음 호출자의 사용자이름을 리용하여 접근권한을 설정 
할수도 있다. 그러나 가운데사람을 없애고 보증서에 접근권한을 포함시킬수 있다. 이때 
대응하는 비공개열쇠는 보증서에 명기된 권한을 줄 자격을 가진다. 이 경우에 사용자의 
신원을 확증하기 위하여 보증서를 검사하지 않고 오히려 자격을 인증한다. 

A 사용자신원과 마찬가지로 보증서들은 두가지 목적에서 리용된다. 보증서들 

나 은 암호열쇠와 관계되는 실체를 식별할수 있거나(소유자의 신원을 식별하 
지 않고도) 암호열쇠의 소유자에게 부여되는 접근권을 나타낼수 있다. 


보증서 를 검 증하기 위하여 CA 서 명 을 검 사하기 위한 검 증열 쇠 가 요구된 다. CA 검 증 
열쇠 는 다른 ◦쇼에 의 하여 담보될수 있다. 따라서 다른 보증서 를 검 증하기 위하여 또 다 
른 검증열쇠가 필요하며 이런 식으로 계속될수 있다. 바로 그렇기때문에 보증의 계층구 
조를 어 떻게 하면 가장 합리적 으로 구성하겠는가 하는 론쟁 이 아직도 활기를 띠 고 계속 
되 고 있다. X .509 Directory Framework 는 보편적 인 뿌리 보증서를 가지는 등록부나무 
에 보증서들을 순수한 형태로 배렬한다. 다른 극단한 경우로서 PGP (Pretty Good 
Privacy ) 보증서들은 권고체계 에 기초하고 있으므로 CA 를 전혀 필요로 하지 않는다. 결 
국 검증열쇠는 얼굴값 (face value ) 이 라고 믿어 야 한다. 친구, 종업원， Web 열 람기로부 
터 또는 밖에서 또는 장부로부터 검증열쇠를 받을수도 있는데 매우 심중한 사람이 라면 
열쇠를 믿기에 앞서서 여러가지 원천들을 알아 볼것이다. 

보증서의 취소와 관계되는 문제들은 제10장에서 이미 론의되 였다. 

/ j \ 드디여 암호보호가 암호화되지 않은 기지에 닻을 내리게 되였다. 


제5절. 기구의 강도 


암호화알고리듬의 강도를 평가하는것은 엄밀한 수학적토대에 기초할 때도 있고 직관 
성과 경험에 의거할 때도 있으므로 정확성이 없는 분야라고 말할수 있다. 

암호화알고리듬은 

• 경험적으로 안전하다. 

• 증명가능하게 안전하다. 

• 무조건적으로 안전하다. 

으로 될수 있다. 

알고리듬이 시간의 검사에 잘 견더면 알고리듬이 경험적으로 안전하다고 말한다. 오 
래동안의 분석결과에 의하면 이런 알고리듬에서 치명적인 약점이 발견된것은 없으며 알 
고리듬이 새로운 공격에 의해 실패하지 않을수 있다는 증명이 비록 없지만 알고리듬은 
암호학계에서 인정되였다. DES 는 경험적으로 안전한 알고리듬에 대한 좋은 실례이다. 


213 




차분암호해석과 갈은 새로운 해석방법들은 DES 의 보안을 약화시킨것 이 아니 라 강화 
하였다. 

증명 가능하게 안전한 알고리 듬은 얼핏 보기 에 는 콤퓨터 보안이 오래동안 바라던것 (실 
례로 증명가능한 보안)을 제공하는것처 럼 보인다. 증명가능한 보안은 복잡한 리론의 범 
주에서 표현된다. 만일 알고리듬을 파괴하는것 이 적 어도 어 려운것으로 알려 진 다른 문 
제를 푸는것만큼 힘들다고 하면 이런 알고리듬을 안전하다고 말한다. 이 개념은 알기 힘 
들것 같지 만 하나의 작은 단행 본을 읽 으면 얼 마든지 리해할수 있 다. 

여 기서 《적 어도 푸는것만큼 힘 들다.》고 하는것은 점근적 인 개 념 으로서 여 기 에는 
《아주 힘든》실례들도 있다는것이다. 계산설비의 현재능력과 알고리듬설계의 발전을 
평 가하여 야 한다. 례하면 우리 가 인수분해할수 있는 항의 크기 는 해 마다 끊임 없 이 증가 
하고 있으며 독자들은 이것 이 경험적 인 론증으로 된다는데 동의할것 이 다. 지 어는 더 악 
조건인 경우가 발생될수도 있다. 암호화에서 제기되고 있는 어려운 문제들은 인수분해하 
는 문제 와 리산로그문제 인데 반드시 풀기 어 렵 다는 증명 은 실제 적 으로는 없 다. 다시한번 
말하지만 암호학은 지금까지 알려 져 있는 고속알고리듬은 없으며 이것을 기본적으로 돌 
파하기가 곤난하다는 경험적인 론의에 근거하고 있다. 보다 긍정적으로 말한다면 이 리 
론은 어떤 다른 암호화방식 을 해독하기 힘든 정도를 론의하는데서 암호화방안을 해독하 
는데 요구되 는 품의 아래한계 를 준다는 결 과를 주었 다. 

증명 가능하게 안전한 알고리 듬은 충분한 계 산자원을 가진 공격 자에 의하여 해 독될수 
있 다. 물론 필요한 자원들이 어 떤 공격 자의 능력 을 벗 어 날수도 있 다고 기 대할수 있 다. 
무조건적으로 안전한 알고리듬은 무제한한 계산능력을 가진 공격자들에 의해서도 해독될 
수 없다. 

무조건적 인 보안은 정보리론으로 서술할수 있다. 공격자가 암호문의 관측으로부터 
평문에 대한 보충적 인 정보를 엄지 못한다면 알고리듬은 안전하다고 말한다. 

무조건적으로 안전한 알고리듬의 표준적 인 실례로서 한번 쓰고 버리는 암호문 (1 회사 
용암호문)을 들수 있다. 송신자와 수신자는 실제적으로 우연적 인 열쇠흐름을 공유하고 
한번만 리 용한다.암호문은 평문과 열쇠 흐름의 비 트별 배 타적 론리합으로 된 다. 수신자는 
암호문에 동일 한 열쇠 흐름을 배 타적 론리합을 실 시하여 평 문을 회 복한다. 

암호문 © 열쇠흐름 = 평문 © 열쇠흐름 ©열쇠흐름 = 평문 

매개 열쇠가 등확률적이므로 공격자는 암호문을 보기전에는 추측할수 없는 평문에 
대하여 아무것도 추측할수 없다. 

지 어는 무조건적 으로 안전한 암호들까지 도 해 독되 였 다는것 을 주의해 야 한다. 조종수 
가 품을 줄이 기 위하여 동일 한 열쇠 흐름을 2번 리 용한다면 공격 자는 두개 의 암호문을 중 
첩 시 켜 놓음으로써 두 평문의 조합을 알수 있 다. 

암호문1 © 암호문2 = 평문1 © 열쇠흐름 © 평문2 © 열쇠흐름 
= 평문1 © 평문2 

두 평문의 통보문을 중첩시켜 놓고 뜻이 통하면 아주 어렵지 않게 암호를 해독할수 있 
다. 베노나 ( Venona ) 계획은 이러한 사고가 발생한 일이 있다는것을 기록하고 있다. 

마지막으로 극히 중요한 사실을 강조하자. 대체로 암호체계들은 알고리듬의 고유한 
약점 보다도 열 쇠 관리 가 오동작하였 기때 문에 파괴 된 다. 제 2차세 계 대 전의 수수께 끼 는 이 
점을 례증하는 가장 유명한 실례로 된다. 따라서 열쇠관리규약의 보안은 극히 중요한 문 
제로 된다. 보안규약의 력사는 수년동안 구체적 인 여론조사를 한 다음 갑자기 새로운 공 
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격에로 넘어 간 규약의 력사로서 별로 깨끗치 못하다고 말할수 있다.일부《새로운 공격 
들》은 규약들을 리 용하는 방법들에 대 한 기 본가정을 쉽게 변화시켰으며 새 토운 환경 에 
서 규약이 동작하지 않는다는것을 보여 주었다.이 문제의 근원을 보려고 한다. 규약설계 
자들은 이 규약을 실현하기 위하여 지원하는 대상과 그것이 리용될수 있는 환경을 정확 
히 정의하기 위하여 여전히 노력하고 있다는것을 알게 될것이다. 

그 유명 한 실 례 가 실 체 인증방법 이 다. ISO 작업 조들까지 도 실 체 인증이 대 화열 쇠 의 구 
성 을 의 미 하는것 인지 아니 면 자칭 하는 신원을 검 증하는데 불과한지 여 러 가지 견해 를 세 
우고 있다. 이런 의미에서 《얼라이스는 보브에게 말을 한다.》혹은《보브가 얼라이스 
의 신원을 대조한다.》와 갈은 의 인화모형을 매우 그릇되게 해석 할수 있다. 콤퓨터 보안 
에서 실체들은 사람이 아니라 콤퓨터이고 통보문을 말로 보내는것이 아니라 망으로 보내 
며 A 의 신원을 검 증함으로써 무슨 의 미 인지 를 결정하여 야 한다.확정 적 으로 말할수 있는 
것은 콤퓨터들사이에 시각적 접촉이 없다는것이다. 

A 얼라이스와 보브는《달를한 의미론적인 말》로 독자들이 그릇된 추상화준위 
’ 에서 사고하도록 유혹하고 있다. 


이 장의 문헌안내 

비밀통신의 력사에 흥미를 가진다면 참고서 [73] 을 보시오.암호화에 대한 최근의 전 
문참고서 로는 [9 的를 리 용하시 오. [13 기은 현대암호학에 대 한 비 수학적 인 기 초도서 로 되 
면서 동시 에 암호알고리 듬의 폭 넓은 참고도서들을 제 시한다. 이 책들로부터 이 장에서 
제 시 한 알고리 듬에 대 한 구체 적 이 면서 도 풍부한 내 용을 고찰하게 될것 이 다. 공개 열쇠 암 
호에 대한 시초론문은 [41] 이다. 최근에 와서야 공개열쇠체계에 관한 CSEG 에 의하여 
초기에 분류되여 있던 연구범위로부터 벗어 나게 되였다. 

h 竹 p : / / www . cseg . gov . uk / / storynse . htm 

Venona 문건들은 다음과 같이 찾을수 있다. 
h 竹 p : / / www . rsa . com 

《 진정한》암호화규약에 관한 연구를 하는 경 우에 는 IP 규약준위 에 서 열 쇠 동의 를 
위 하여 Diffie-Hellman 과 RSA 를 채 용하는 OAKLEY 열쇠 결정 규약을 검 사한다. 단순한 
공개 열쇠 하부구조 ( SPKI ) 우에서 인터 네트 Draft 는 존재기간이 짧다는 특성이 있음에도 
불구하고 보증리론에서 언급되여야 한다. 

보증과 공개 열쇠 하부구조에 관해서는 다음의 주소에서 상담할수 있다. 

http : / / www . entrust 

또는 

http : / / www . V ensign . com 
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련습문제 

1. 암호규약은 보호되지 않는 망에서 대리인이 안전하게 통신하도록 작성된다. 이 명제 
가 정확한가? 


2. 암호는 물리적보호를 필요로 한다. 이 명제가 어느 범위까지 정확하다고 말할수 있 
는가? 

3. 약 n 3 개의 연산을 요구하는 n bit 옹근수들에 대하여 모둘제곱알고리듬이 주어 져 
있는 경우에 RSA 에서 512 bit 로부터 1024 bit 에로 이동하면 성능이 어느 정도 저 
하되겠는가? 

4. 문건이 너무 길어서 수자서명알고리듬으로 직접적 으로 처 리할수 없는 경우에는 문건 
의 하쉬함수를 계산하고 서명한다. 공격 자가 서명을 위조하는것을 막기 위해서는 이 
하쉬함수에서 어떠한 특성들이 요구되는가? 

• 공격 자는 피해 자가 서명한 통보문만을 아는 정황과 공격 자는 피해 자가 서명한 통보 
문을 선택할수 있는 정 황들사이 의 차이 점 을 구별한다. 

• 공격자가 위조된 통보문의 내용을 마음대로 조종하는 선택적 인 위조품과 공격자가 
위 조된 통보문의 내 용을 마음대 로 조종하지 못하는 존재 적인 위 조들사이 의 차이 점 
을 구별한다. 

• RSA 와 같은 가역적 인 서 명알고리 듬에 서 쓰이 는 하쉬함수의 특정 적 인 요구조건을 
고려 한다. 

5. 임의의 씨수쌍으로 RSA 를 안전하게 사용할수 있는가? 

강한 씨 수를 리용하는 리 유와 강한 씨 수로부터 일 반적 으로 요구되 는 특성 들을 따져 
보시오. 씨수들이 보다 길어 지면 리유가 늘 타당하게 된다고 볼수 있겠는가? 

6. 엘 가말서 명방안에 서 우연수 k 가 두개 의 다른 문건들을 서 명하는데 쓰이 는 경 우에 
비 공개서명 열쇠를 약화시 킬수 있는 방법 을 이 야기 하시 오. 

7. 비 공개 RSA 지수를 가진 암호화는 수자서명 을 창조할수 없다.이 미 서명한 통보문에 
검사할 여분의 정보가 없다면 공격자가 서명을 위조할수 있는 방법과 범위를 설명하 
시오. 

8. 보증하부구조는 수자서 명방안을 지 원하기 위하여 필요하다. 제 안범 위 는 X .509 하부 
등록부나무로부터 신뢰성 있는 PGP 망사이이다. 응용프로그람이 수자서명을 요구할 
수 있는 원인에 대해 설명하시오. 어느 보증방안이 독자가 진행한 신원확인에 가장 
적 합한가? 


9. NP 완정 성 문제 가 암호알고리 듬을 구성하는 적 합한 기 초로 되 는가? 

10. 열쇠설정규약은 내부사람이 부정행위를 쉽게 하지 못하도록 하는데만 있는것이 아니 
다. 열쇠 교환규약을 위한 완전한 부정 행위 에 대 한 분석 을 하시 오. 

11. 두 관계 자 A 와 묘가 대 화열 쇠발생 기 의 입 구에 영 향을 주도록 Needham - 
Schroder 열쇠 교환규약을 수정 하시오. 
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제 13 장. 망보안 


망들이 전개되여 콤퓨터들은 외부세계에 더많이 접근할수 있게 된다. 

콤퓨터들이 외부세계를 더많이 접근할수 있도륵 하면 좋은 점과 나쁜 점이 다같이 생긴 
다. 호상작용이 있을수록 불필요한 호상작용들도 그만큼 늘어 나게 된다. 따라서 체계우 
의 사용자가 어떻게 망에 접근할수 있겠는가，망우에서 사용자가 어떻게 체계에 접근할 
수 있겠는가，자료가 망에서 이동할 때 자료를 어떻게 보호하는가를 통제하려고 한다. 
바로 그렇 기 때 문에 망보안은 암호화에 서 뿐아니 라 접 근조종에 도 새 로운 요구를 제 기 하고 
있 다. 


목적 

• 망에 특유한 보안문제들을 고찰하고 망보안이 를퓨터보안에 어떻게 이바지하고 있으 
며 의존하고 있는가를 리해한다. 

• 기초적인 보안규약들인 IPSEC 와 SSL / TLS 를 실례로 하여 망보안규약의 설계에 대 
한 기초지식을 준다. 

• 망의 경계들이 어떻게 보안의 둘레로 될수 있는가를 고찰한다. 

• 다양한 방화벽들의 원리를 리해 하고 이것 이 제 공할수 있는 봉사와 그의 고유한 제 한 
성들을 고찰한다. 


제1절. 소개 

앞에서의 보안규약에 대한 론의는 얼마간 추상준위에 머물러 있었다. 자료(통보문) 
가 실체들사이에 전송될 때 이러한 자료교환의 정확한 본성에 대하여 전혀 관심을 돌리 
지 않았다. 보안규약의 일련의 특징들은 이러한 모형에서 검사될수 있지만 보안규약을 
실 현하는데 착수하면 콤퓨터 망에 대 한 구체 적 인 기 술적 특성 에 보다 깊은 주의 를 돌려야 
한다. 

콤퓨터망들은 분산체 계 에서 마디 들사이 에 자료를 전송하기 위한 통신의 하부구조이 
라고 볼수 있 다. 하나의 마디 에 서 응용프로그람에 의하여 보내 지 는 자료는 전송을 위하 
여 준비 되 여 있 다가 전자적 혹은 광학적신호렬로 전송되 며 수신측에서 다시 조립 되 여 응 
용프로그람으로 제 시된다. 망규약들은 송신자로부터 수신자에 로의 경 로를 배 당하여 야 하 
며 여기서 자료의 손실이나 이지러짐 그리고 건설자들이 전화케블을 끊었을 때와 같은 
련결의 손실도 론의하여 야 한다. 이 것 들을 총체 적 으로 취 급하여 맨 웃층이 응용규약이 고 
맨 아래층이 정보비트들을 물리적으로 전송하는 규약으로 이루어 진 계층화된 방식을 리 
용하는것은 좋은 공학적실천으로 된다고 볼수 있다. 

망보안에서 기 본과제 의 하나는 개 별적 인 보안봉사에 가장 적 합한 망을 탐색하는것 이 
다. 망관리 규약은 다른 통신규약에 의하여 발생 되 는 자료가 약속된 접 수자에 게 효과적 으 
로 전달되는데 필요한 지원수단을 제공한다. 실례로 관리규약들은 송신자와 수신자사이 
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의 중간마디들의 리용성을 검사하고 최 량적 인 련결을 찾거나 또는 론리적인 망주소들을 
물리적주소로 결정한다. 

다른 규약들은 망마디들을 원격으로 체계에 등록하는데 리용되며 이러한 마디들에서 
실행되고 있는 쏘프트웨어들은 점점 복잡해 지고 있다. 바로 그렇기때문에 망보안은 망 
관리규약의 보안과 망에서의 마디의 보안에 더욱더 의존하게 된다. 

망마디들이 보호된 싸이트에 있다고 하여 보안이 담보된다고 하던 시기는 이미 지나 
갔다. 

1. 계층화된 모형 

ISO 열린체계상호결합 ( OSI ) 방식 에서는 7층모형 이 망규약을 계층화하는 공통적 인 틀 
거리로 되고 있다.이 책에서는 매층을 정확히 론의하는것보다 계층화된 모형에 관심을 
가진다.그것 은 계 층화모형 들이 망보안을 론의 할 때 아주 쓸모 있는 추상화를 제 공하기 때 
문이 다. 

계 층화모형 들은 제1장 4절 2에 서 고찰한 문제 들을 다시 생 각해 보면 쉽 게 리해할수 
있 다. 

• 상위 층에 서 보안봉사들은 특정 의 응용에 맞게 구성할수 있 다. 그러 나 여 러 가지 응용 
들은 매개가 다 자기의 보안규약을 요구한다. 

• 하위층에서 보안봉사들은 자기보다 높은 모든 층으로부터 통신량을 보호할수 있으므 
로 응용규약설계 자들은 보호에 주위를 돌리지 않아도 된다. 그러 나 일부 응용들에서 
는 이러한 보호가 자기들의 요구를 충분히 만족시키지 않는다는것을 알수 있다. 


응용 

제시 

대화 

전송 

망 

련결 

물리 


그림 13-1. ISO/OSI 7층모형 

계층모형에서 어떤 층 N 의 동위체계들은 ( N ) 규약을 리용하여 통신한다. 층 N +1 의 
규약들은 N 층에 서 보면 가상적 인 련결이 라고 생 각할수 있으므로 그 아래 층에 서 제 기 되 
는 문제 들을 고려할 필 요는 없 다(그림 13-2). 

물론 실제 로 ( N ) 규약은 보다 낮은 층들의 규약에 근거하여 구축된다. 
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송신자 수신자 


그림 13-2. N 층에서 가상련결 

자료를 보다 낮은 층들에 넘겨 주는 일반적인 패턴이 있다. ( N ) 규약에서의 통보문 
을 ( N ) 규약자료단위 ( PDU ) 라고 부론다. ( N ) 규약은 층 N -1 에 있는 설비들을 불러 냄 
으로써 ( N )- PDU 를 전송한다. 이 단계에서 ( N )- PDU 는 단편화되여 다른 방법으로 처 
리될수 있으며 결과들은 ( N - l )- PDU 로 되는 머리부와 꼬리부들이 불는다. 

( N - l )- PDU 의 수신자는 머 리부와 꼬리부들로부터 정보를 리용하여 ( N )- PDU 를 다 
시 조립한다.그림 13-3 은 이 과정 을 간단하게 보여 준다. 


(N)-PDU 


I 머코1부 I 유 I 

(N-l)-PDU 


꼬리 부 


(N)-PDU 


| 머리부 | 유 i 하중 I 33셔 부 I 
(N-l)-PDU 


그림 13-3. ( N )- PDU 의 처리 

이제 이 계층모형안에서 다른 봉사들에 영 향을 최소로 미치는 보안봉사를 어 떻게 실 
현할수 있는가를 간단히 보여 줄수 있다. 

( N ) 규약이 N -1 층의 보안봉사를 호출하도록 하기 위하여 현존하는 기 능들중 일부를 
다시 작성하거 나 어 떤 새 로운《 보안》기 능들을 첨 부할수 있 다. 

첫번째 경우 ( N ) 규약은 전혀 변화되지 말아야 하며 두번째 경우에는 보안기능들을 
가리키도록 호출을 변화시켜야 한다. 두 경우 다 ( N - l ) PDU 의 머리부들은 보안에 관계 
되 는 자료를 기 억 하는데 편리 한 위 치 들로 된 다. 

2. 탐지와 기만 

통보문의 전송에 특유한 위협에 관계되는 부분은 망보안에서 한부분을 이룬다. 이러 
한 위협들중에서 어떤것들은 허용되지 않는 자료를 공개하거나 변경하는것과 갈은것으로 
서 앞장들에서 충분히 론의되였다. 

콤퓨터망들에서《도청》은 그다지 힘들지 않다. 송신자와 수신자사이의 직접회선은 
하나의 추상화일뿐이다(그림 13-4). 
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그림 13-4. 를퓨터 망에 서 통신의 추상적표시 

실제에 있어서 송신자와 수신자사이의 통보문을 중계하기 위하여 얼마든지 중간마디들을 
둘수 있다고 생각할수 있다(그림 13-5). 이 중간마디들은 그 기능에 따라 다리，관문, 
경로기 등으로 불리운다. 



그림 13-5. 콤퓨터망에서 통보문의 전달 

이러한 기구들은 들어 오는 통신량을 읽은후 다음에 처리할 동작 즉 들어 오는 파케 
트를 어데로 보내겠는가를 결정한다.대부분의 이러한 장치들에는 쏘프트웨어요소들이 들 
어 있다. 이것 은 들어 오는 통신량을 읽 고 민감정보를 공격 자에 게 넘 겨 주는 사기 적 인 
루설자쏘프트웨어 가 동작할수 있는 기회를 준다. 

민감정보에는 망주소 또는 실행할 준비를 갖추고 있는 마디의 규약을 지적하는것과 
같은 관리자료가 들어 있 다. 암호화에 의해 응용자료를 보호하는데 주의 를 돌렸 다고 하 
여도 잠재적인 공격자는 망의 내부구조를 알아 내고 민감정보를 리용하여 공격을 개시할 
수 있 다. 마찬가지 로 부하와 마디 의 리용성 에 대 한 진단방법 들을 수집한 망관리 규약들로 
부터의 정보도 민감정보라고 볼수 있다. 동시에 이러한 규약들은 망을 효과적으로 리용 
하는데 필요하게 된다. 너무 지 나치게 보호를 하면 망이 제공하는 봉사의 질이 떨어 질 
수도 있다. 

이밖에도 망보안에서의 위협은 원천주소들을 위조하거나 또는 이미 참가하였던 거래 
에서 후에 련대책임을 거부하는 실체들로부터 또는 통신량흐름분석으로부터 생기게 되는 
데 여기서 공격자는 두개의 실체들이 통보문을 교환하고 있다는 사실로부터 정보를 수집 
할수 있다. 

3. ISO / OSI 보안구성방식 

ISO/OSI 보안구성 방식 [51] 은 우에서 제시한 위협들과 투쟁하는 보안봉사들을 규정 
한다. ISO 八) SI 보안구성 방식은 종종 실례의 대상으로 되지 만 이 것을 비평하는 사람들 
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도 가끔 있다. 이 보안구성방식을 반대하는 론거와 이것이 아직까지 현실적으로 실현되 
지 못한 원인에 관한 문제는 망보안에 관한 도서에서 취급되여야 할 내용이지만 이러저 
러한 형태로 이것과 맞다들리는 경우가 자주 있으므로 아래에 그 봉사내용을 서술한다. 

• 자료기밀성: 통신량흐름분석으로 정보의 로출을 비롯한 권한 없는 로출을 보호하 
는것 . 

• 자료완정성 : 권한 없는 변경이나 파괴로부터 자료를 보호하는것. 

• 자료원본인중: 자료원천를 대조하는것 . 

• 동위실체인중: 동위실체(동일한 규약층에 있는 실체)의 신원을 확인하는것. 흔히 동 
위실체인증은 련결이 이루어 졌을 때 제기되며 대화과정에 자료원본인증에 리용될수 
있는 열쇠에 대한 계약이 들어 있다. 

• 비거부화: 송신자(또는 수신자)가 후에 이 사실이 틀렸다고 부인할수 없도록 자료가 
이미 송신 또는 수신되 였다는 증거를 만들어 내는것 . 

이것은 IS 07498-2 에서 원본의 증명과 배포의 증명 이라는 용어 로 표현되 고 있다.다 
른 문헌들에서는 의뢰의 증명，접수의 증명이라고 표현하기도 한다. 보통 이러한용 
어의 의미들은 때때로 일치할 때가 많다. 

이러한 봉사들을 제공하는데 채용된 기구들은 대부분 암호학 즉 암호화수자식서명 
완정 성 검 사함수에 의하여 실 현된 다. 암호학적 보안은 우수한 속성 을 가진다. N 층에 서 안 
전한 규약은 층아래에 있는 불안전한 규약우에서 실행될 때에도 기능이 약화되지 않을것 
이 다.이 규칙 에 한가지 례 외 가 있 다. 닉 명 으로 한 층에 있는 당사자의 신원을 숨기 는데 
주의를 돌린다면 보다 낮은 층의 규약이 첨부하는 자료는 통보문의 원천과 목적지에 대 
한 정보를 폭로할것 이 다. 


제2절. TCP/IP 보안 

실천에서 망보안이 어떻게 동작하는가를 구체적으로 보기 위하여 인터네트규약묶음 
의 범위 내 에서 보안을 검 토한다(그림 13-6). 인터 네 트모형 에서는 ISO/OSI 모형 규약의 7 
개 층에서 일부는 파탄되고 4개의 층만이 남아 있다. 

• 응용층에서의 규약들은 Telnet , FTP , HTTP , SMTP (단순한 우편전달규약) 또는 
SET (안전전자업무) 이다. 

• 전송층에서 의 규약은 TCP (Transmission Control Protocol ) 와 UDP(User 
Datagram Protocol ) 이다. TCP 와 UDP 는 PDU 가 포트번호에 속하는 응용층규약 
을 나타낸다.공통적으로 리용되는 포트번호들은 21 ( FTP ), 23 ( Telnet ), 
25 ( SMTP ), 80 ( HTTP ) 이다. 

• 인 터네 트층에 는 인 터네 트규약 ( IP ) 가 있 다. 

• 대 면층의 규약들은 망기 술에 특정 이다. 

TCP 와 IP 는 UDP 와 관리 규약 ICMP 와 함께 인 터네 트의 심 장부라고 볼수 있다. 
TCP 와 IP 는 원래 믿음성이 없는 망에 련결된 사용자들에게 친절성과 협동성을 보장할 
목적으로 설계되였으므로 보안문제에 전혀 관심을 돌리지 않았다. 오늘날에는 TCP/IP 
는 광범히 보급되고 있으므로 보안에 대한 엄격한 요구가 제기되였다. IETF (Internet 
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Engineering Task Force ) 는 인터 네트와 전송층에서의 보안규약을 목적으로 제 안되 였 
다.다음 2개 절에서 이 두가지 제 안을 고찰한다. 대부분의 이 규약들은 아직까지 초안에 
불과한 상태에 있으므로 여기서는 구체적인 공학적측면에로 너무 깊이 들어 가지 않는다. 
이 장의 마지막에서 제시된 참고서들은 현재 기술적문헌으로 되는 원서들이다. 


응용 

전송/대화 
인터네트 
대면 


그림 13-6. 인 터네 트층들 


1. IPSEC 

IP (Internet Protocol ) 는 인터네트층에 PDU 인 IP 자료본문을 전송하는 접속이 없고 
국적 이 없는 규약이 다. IP 가 접속이 없고 국적 없는 규약이므로 매 개 자료본문은 다른 
IP 자료본문과 관계가 없는 독립적인 실체로 취급할수 있다. 또한 자료본문의 배포에 대 
한 담보도 없다. 

IP 4판이 1981년 에 RFC 791 로 공개 된 때 로부터 인 터 네 트는 널 리 보급되 여 왔으며 
IP 는 새 로운 요구들에 대 처하는데 적 응되 였 다. 

IP 6판 ( IPv 6) 은 RFC 1883 초안으로 명세서가 작성되였고 오늘날에는 상당히 완성 
되였다고 볼수 있으므로 IP 보안기구를 론의할 때에는 IPv 6 을 념두에 둔다. 

IP 자료본문의 머리부는 다른 마당들에 원천 IP 주소뿐아니라 검사합을 포함하고 있으 
므로 수신자가 전송과정에 자료본문이 오염되였는가를 검사할수 있게 한다. 그러나 이 
검 사합은 순환여유검 사에 불과하므로 자료본문을 고의 적 으로 변경하는 경 우에 는 방어할 
수 없다. 최악의 경우에도 수신자는 자료본문이 어디서 오는가를 실제적으로 알지 못한 
다. IP 머리부의 원천주소는 자료본문이 온 주소로 반드시 되는것은 아니다. 계8장 7절 
1에 서 제 시한것 처 럼 원천경 로공격 에 의하여 이 사실 을 충분히 리 용할수 있 다. 요약하여 
말한다면 IP 에 는 말단-자료믿 음성，자료본문의 순서 화 또는 보안을 위한 특정 의 기 구가 
없다. 이러한 보안기구들은 IP ( IPSEC ) 를 위한 보안구성방식으로 되는 RFC 1825에서 
받아 들이게 된다. 

IPSEC 에는 다음과 같은 두개의 기본적 인 보안기구들이 포함되여 있다. 

• IP 인증머리부 ( AH ), RFC 1826에 들어 있다. 

• IP 일봉보안 유효하중 ( ESP ), RFC 1827 에 奪어 있다. 

IP 보안구성 방식에 는 통신량분석 을 막기 위한 기 구들이 포함되 여 있지 않다. 

IP 인증머리부는 IP 자료본문의 완정성과 인증성을 보호하지만 기밀성을 보호하지 못 
한다. 그 이름으로부터 알수 있는것처럼 인증자료는 자료본문안에 있는 머리부에 놓여 
있다.그림 13-7 은 IP 인증머리부의 의미와 IPv 6 자료본문에서 그의 위치를 보여 주고 있 
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다(목적지선택권들이 인증머 리부앞에 있을수도 있다). 인증머 리부에서 매행은 32 bit 단어 
를 나타낸다. 


다음머리부 | 유효하중길。" T 


보안파라메 터 색 인 


IPv6 머 리 부 

Hop-by-hop/ 
경로선택 

인증머리 부 

목적지 선택 

TCP 

자료 


그림 13-7. 인증머리부의 위치와 의미 

• 다음머리부: 인증머리부다음에 있는 유효하중의 형태를 식별하는 8 bit 마당 

• 유효하중길이 : 32 bit 단어에 있는 인증머리부의 길이-2로 나타내는 8 bit 마당. 실례로 
인증값이 96 bit 일 때 인증머리부의 실제적인 길이는 6이지만 유효하중의 길이는 4로 
주어 진다. IPv 6 에서는 값 2는 인증알고리듬이 없다는것을 나타낸다. 

• 예약: 앞으로의 사용을 위하여 예약되여 있는 16 bit 마당 

• 순서번호마당: 계수기의 값이 들어 있다. 이 값은 송신자에 의하여 포함되지만 수신 
자의 마음대로 처리된다. 

• 보안파라메터 색 인 ( SPI ): 자료본문의 보안련관을 식 별 하는 32 bit 마당. 값 0은 보안련 

관이 없다는것을 나타낸다. 

• 인중자료: 인증자료 즉 MAC 나 수자식서명과 같은 인증자료를 포함하고 있는 32 bit 
단어의 변수번호 

자료본문을 인증하기 위 하여 송신자는 처 음에 완정성 검 사알고리 듬，암호열쇠，인증자 
료의 크기와 같은 파라메터를 제시 하고 있는 보안련관의 위 치를 지적한다. 

일반적으로 사용자신원，목적지주소, 은미는 어느 보안련관을 리용할것인가를 결정한 
다. 보통 MAC 알고리듬이 인증에 리용된다. HMAC 에서 MD 5 와 SHA 1 을 선택해 주면 
암시적으로 모든 IPSEC 실현에서 지원하여야 할 기정선택이다. 

그러 나 기 타 완정성검사함수들도 리용할수 있다. 인증자료를 계산할 때 자료본문의 
마당들이 수신측에서 나타난다고 본다. 

IPv 6 머리부에 있는 hop 한계와 같은 일부의 마당들은 전송도중에 변화된다. 인증머 
리부에 있는 인증자료와 갈은 일부 마당들은 아직 알지 못하며 MAC 를 계산할 때 이 마 
당들에 령 이 들어 간다.그다음 인증머 리부에 있는 인증자료마당에 MAC 가 삽입된다. 

자료본문의 수신자는 해당한 보안련관의 위치를 나타내는 SPI 와 목적지주소를 지적 
하며 인증자료를 검증한다.인증이 실패하면 실패하였다는 정보가 체계에 등록되여야 하 
며 자료본문은 버리게 된다. 
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이 알고리듬에서 IP 머 리부의 일부 마당들은 보안기구에 포함되지 않는다. 보호를 한 
층 더 강화하기 위하여 런넬방식에서는 대표적으로 보안관문의 주소와 같은 어떤 다른 
주소를 포함하는 외부 IP 머리부를 첨부한다. 내부 IP 머리부에는 초기원천과 목적지주소들 
이 들어 있 으며 인증머 리 부에 의하여 완전히 보호된 다 (그림 13-8). 


새 IP 머리부 

제시되는 경우에는 
외부머리부 

인증머리 

원래 IP 머리부 

제시되는 경우에는 
외부머리부 

TCP 

자료 


그림 13-8. 런넬방식에서 인증머리부 

IP 교갑화의 유효하중들은 기밀성을 보호하며 사용되는 암호화알고리듬에 따라 완정 
성과 인증성도 보호할수 있다. 

ESP 머 리 부가 흔히 암호화된 자료의 앞에 놓인다(그림 13-9). 


보안파라메 터첨수 


불투명한변환자료 



IP 머리부 | 기타 IP 머리부 ^ [ ESP 머리부 「암호화된 자료 | 
그림 13-9. ESP 머 리부의 구조와 의미 


ESP 머리부에는 SPI 가 들어 있다.불투명한 변환자료는 암호알고리듬의 처리에 관계 
되 는 그밖의 파라메터 들을 포함하고 있는 보호마당이 다. 

자료본문을 암호화하기전에 송신자는 어 떤 암호알고리 듬과 열쇠 를 사용하겠는가를 결 
정하기 위하여 봉사련합의 위치를 다시 지적한다(이 보안련관은 인증머리부에서 쓰이는 
것과 다르다). 

그러 면 송신자는 다음의 두개 ESP 방식 중에서 선택한다. 

• 전송방식에서 는 TCP 또는 UDP 로부터 오는 웃층프레 임 을 ESP 에서 교갑화한다. IP 
머 리부는 암호화되지 않는다.전송방식은 두 마디사이에 교환된 자료본문의 말단사이 
의 보호를 실현한다. 

• 런넬방식에서는 완전한 IP 자료본문을 ESP 안에서 밀봉한다. 이 ESP 는 다른 IP 자료 
본문안에 서 평문머 리 부에 의하여 전송된다. 따라서 IP 를 런넬 화하면 IP 안에 서 IP 를 
서술할수 있 다. 런넬 방식은 관문기계 (방화벽) 사이에서 리 용되므로 가상사설망 
(VPN) (제13장 3절 )을 창조할수 있 다. 

자료본문의 수신자는 해 당한 보안련관의 주소를 지적하여 암호화된 유효하중을 복호 
화한다. 복호화가 실패하는 경우에는 실패하면 그 고장은 체계에 등록되여야 하며 자료 
본문을 버리게 된다. 

지 금까지 IPSEC 범 위안에 서 열쇠 관리 문제 점 들에 대 하여 설명 하였고 열쇠 현상은 그것 
을 요구할 때 마다 제 자리 에 있 었 다. IPSEC 는 보안련관과 대 화열 쇠 를 설정하는 열쇠 관리 
규약에 무관계하게 인증과 암호화봉사를 표현하고 있 다. 따라서 IPSEC 보안봉사들은 어 
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떤 특수한 열쇠관리규약에 얽매여 있지 않다. 열쇠관리규약에서 결함이 발견되였다고 하 
여도 IPSEC 의 실현에는 영 향을 미치지 않게 하면서도 이 규약을 교체할수 있다. 

요약 

IPSEC 는 IP 에 대 한 대 면부를 변화시키 지 않고도 누구나 IP 를 리용할수 있게 하는 
보안을 제 공한다(그림 13-10) . 상위층규약들은 보안을 불러 내 기 위하여 변환할 필 요가 
없으며 상위층의 통신량이 IP 준위 에서 보호되 여 있다는것을 알고 있을 필요조차도 없다. 
그러나 보안준위를 응용의 요구에 맞게 맞출수 있는 여유는 그리 많지 않다. 


응용 

전송/대화 


IPSEC 


결합부 


그림 13-10. IP 보안 

IP 는 그의 성 능을 통신규약과 관련시키 므로 보안련관을 선택 하기 위하여 응용에 맞 
는 자료를 검 사하는데 지 나친 시 간을 소비할 필 요는 없 다. 

IPSEC 에서는 송신자와 수신자가 암호화연산을 할 때 규약처 리비용과 통신지연시간 
이 증가된다. IPSEC 는 모든 웃층규약들에 대한 보안을 제공할수도 있지만 이 경우 총체 
적 으로 볼 때 부차적 인 처 리 들도 생 겨 나게 된 다. IPSEC 는 특정한 열쇠 관리 규약을 서 술 
하지 않으므로 서 로 다른 마디 들이 자기 의 요구에 맞는 방안을 선택할수 있지 만 방안에 
동의한 다음에 야 IPSEC 를 사용하여 서 로 다른 마디 들사이 통신 량을 보호할수 있 다. 

2. SSL/TLS 

TCP 규약은 두 마디들사이에 신뢰성 있는 바이트흐름을 제공한다. TCP 는 국적 있 
는 접 속지향규약으로서 파케 트가 루실 된 시 간과 파케 트가 순서 대 로 도착하지 않은 시 
간을 검출하며 반복된 자료는 버린다. TCP 는 두 마디들사이의 대화를 설정할 때지어 
는 주소에 기초한 신원인증까지도 진행되지만 계8장 7절 1에서 강조한바와 같이 이 규 
약의 실천에서는 불비한 점들이 있다. TCP 는 강한 암호화실체인증과 자료완정성,기밀 
성 이 부족하다.이 러한 봉사들은 네트스케 이프 ( Netscap ) 에서 주로 WWW 통신량을 보 
호 하 기 위 하 여 개 발 한 SSL (Secure Socket Layer ) 규 약 에 도 입 되 였 다 . 전 송 층 보 안 
( TLS ) 우에 서의 IETF 초안은 전 반에 걸 쳐 SSL 3판 ( SSLv 3) 과 갈으며 현재 는 
SSL / TLS 로 알려 지고 있다. 

인 터네 트규약안에 서 보면 SSL 은 응용층과 TCP 사이 에 위 치 하고 있 다. 이 것 으로 하 
여 SSL 은 TCP 가 담보하는 속성 을 믿 을수 있 으므로 례하면 자료가 믿 음성 있 게 배 포되 
였는가 하는데 관심을 돌릴 필요는 없다. TCP 와 마찬가지로 SSL 은 국적이 있으며 접속 
지향적이다. SSL 대화상태에는 암호화알고리듬의 실행에 요구되는 정보들이 들어 있는데 
여기에는 대화식별자，암호묶음의 명세서, 공유된 비밀열쇠，보증서，디피-헬만 ( Di 打 ie - 


225 





Heilman ) (제 12 장 3절 1) 과 같은 규약에서 쓰이는 우연값과 같은것들이다. 열쇠관리에 
의하여 생 기는 간접 처 리를 포함시 키기 위 하여 하나의 SSL 에 여 러개의 접속을 포함시 킬 
수 있다. 의뢰기와 봉사기사이의 HTTP 대 화가 특징적 인 실례 라고 볼수 있는데 이때 구 
성 문건의 매 부분을 전송하기 위하여 새 로운 접 속이 이 루어 진다. 



응용층 


SSL 응답확인규약 

SSL 기 록층 


TCP 


인터네토 

대면부 


그림 13-11. SSL 층 

상태 정 보의 부분모임 만을 매 개 접 속에 서 변화시켜 야 한다. SSL 에 는 2개 의 성 분이 
있다 (그림 13-11). 

• SSL 기 록층 

• SSL 응답확인층 

SSL 기 록층은 상위 층규약으로부터 블로크를 선택하여 SSL 평 문기 록으로 단편화한 다 
음 현재의 대 화상태 에서 암호명세 에 의하여 정의되 는 암호학적변환에 적 용한다. SSL 기 
록층은 본질에 있어서 IPSEC 에 류사한 봉사를 제공하므로 IPSEC 보안련관들과 SSL 상태 
를 대 비하는것은 결코 별개의 문제 로 되지 않는다. 

SSL 응답확인 ( handshake ) 규약은 대 화상태 가 있 는 암호화파라메터 를 결 정한다. 그 
림 13-12 는 의뢰기와 봉사기사이에 교환된 통보문을 보여 주고 있다. 괄호안에 있는 요 
소들은 선택성을 가진다. 이 규약을 실례로 보여 주기 위하여 의뢰기가 봉사기를 인증하 
는 동작을 단계 별로 고찰하자. 

의뢰기 ClientHello 는 통보문으로써 규약실행을 시동한다. 이때 Client Hello 통보문 
에는 우연수，의뢰기가 선택에 따라 순서화된，제안된 암호의 목록, 제안된 압축알고리 
듬이 들어 있다. 즉 

Ml ： Client Hello ： Client Random [28] 

Suggected Cipher Suites ： 
TLS _ RSA _ WITH _ IDEA _ CBC_SHA 
TLS _ RSA _ WITH _ DES _ CBC_SHA 
TLS _ RSA _ EXPORT _ WITH _ DES 40_ CBC _ SHA 
Sugested Comeression Algorithm : NONE 
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봉사기는 제 안된 묶음에서 암호 TLS _ RSA _ WITH _ DES _ CBC _ SHA 를 선택한다. 














여기서 PRF 는 MD 5 와 SHA 에 기초하여 더 복잡한 함수를 간략한것이다. 
Mastersecret 는 다음과 같은 형태로 표시되는 열쇠블로크를 구성하는 입력으로 된다. 

PRF ( MasterSecret , ‘Key expansion ' , ClientRandom 11 ServerRandom ) 

기 호 11 은 련결을 의미한다. 의뢰 기와 봉사기 에 대 하여 모든 요구된 MAC 와 암호 
화열쇠 들은 열쇠블로크에서 추출한다. 의뢰기 로부터 봉사기 에 로의 통신량을 보호하는 열 
쇠는 봉사기로부터 의뢰기에로의 통신량을 보호하는 열쇠와 다르다. 따라서 관계자들은 
자기가 보낸 통보문과 자기가 받은 통보문을 구별할수 있으므로 통보문을 송신자에게 다 
시 보내는 반사공격을 받지 않게 된다. 

의뢰 기는 선택된 암호묶음에서 지적된 열쇠 관리알고리듬과 봉사기 가 보증하는 공개 
열 쇠 를 리 용 하 여 PreMasterSecret 를 봉 사 기 에 전 송 한 다 ( 그 다 음 의 뢰 기 는 
PreMasterSecret 를 즉시에 파피시켜야 한다). 이 례에서 알고리듬은 RSA 이며 공개열 
쇠는 Ox 521 aa 593 이다. 의뢰기는 변환을 요구하지 않고 선택된 암호묶음을 접수한다는것 
을 알려 주면서 세번째 통보문을 MD 5 와 SHA 에 의하여 구성 된 두개 의 하쉬함수들을 통 
하여 앞의 두 통보문과 련결시킨다. 

M 3 : A : ClientKeyExchange : SA_Encrypt ( ServerPublicKey , PreMasterSecret ) 

B ： ChangeCipherSpec : NONE 
C : Finished MD 5 (Ml | | M 21 | M 3 A ) 

SHA (Ml | | M 21 | M 3 A ) 

봉사기 는 PremasterSecret 를 복호하고 그로부터 MasterSecret 와 열 쇠블로크 그리 
고 의뢰기와의 이 대화에 유효한 모든 비밀열쇠들을 계산한다. 봉사기는 의뢰기통보문에 
첨부되여 있는 하쉬함수를 확인하고 어떤 변환을 요구함이 없이 선택된 암호묶음을 접수 
한다는것을 알려 주면서 다음과 같이 응답한다. 

M 4： A : ChangeCipher Spec ： NONE 

B ： Finished MD 5( M 1 | | M 2 | | M 3 A | | M 3 必 

SHA (Ml || M 2 || M 3 A | | M 3 c ) 

의뢰 기는 봉사기의 통보문에 있는 하쉬함수를 확인한다. 

이때 두 관계자들은 공유비밀열쇠를 설정하였으므로 응용통신량을 보호할수 있다. 


요약 

오늘날 SSL 은 매우 광범히 리용되고 있는 인터네트보안규약으로서 모든 Web 열 람기 
들에서 지원되고 있다. SSL 은 응용규약과 TCP 사이에 보안층을 첨부하였으므로 응용들 
은 보안을 명시적으로 요구하여야 한다. 따라서 응용코드는 변화되여야 하지만 요구되는 
변화들은 SSL 의 이전 응용에서 TCP connect 호출을 SSL - connect 호출로 바꾸는 편집 
조작보다 많치 않다. SSL - connect 호출은 암호상태파라메터 들을 초기 화하여 원래 의 
TCP connect 호출을 한다 . 
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SSL 명세서는 IPSEC 와 달리 신호교환규약을 정의함으로써 의뢰기와 봉사기가 암호 
묶음에 동의하여 필수적이 면서 도 관건적 인 자료들을 설정 하고 서 로 인증을 한다. 또한 
SSL 은 IPSEC 와 달리 모든 실현에 반드시 포함되여야 하는 SSL 규격에 만족되는 암호 
알고리 듬의 묶음을 아직 까지 규정 하지 못하고 있 다. 이 점 은 SSL / TLS 를 인 터네 트규격 으 
로 되게 하는데서 현재 장애물로 되고 있다. 

제10장 3절에서는 보안문맹자의 응용을 어떻게 보호하겠는가 하는 문제점들을 제기 
하였다. GSS - API 와 비슷한 정황이 IPSEC 와 SSL 에서도 제기된다. 암호봉사호출을 불 
러 내여 자료의 암호화 또는 자료의 인증을 진행하기 위해서 응용작성자는 응용코드를 
조금 ( SSL ) 또는 전혀 ( IPSEC ) 바꾸지 않아도 된다.《보안문맥》은 SSL 에 의하여 설정 
되며 IPSEC 에서는 따로따로 설정되여야 한다. 의뢰기와 봉사기는 자기 봉사문맥의 파라 
메터를 보호하여 야 하며 그렇게 하지 않은 경우에는 IPSEC 에 SSL 에 의하여 제공되는 
보안은 약화되게 될것 이며 다시 를퓨터보안에 되돌아 가게 된다. 

A 통신회선우에서 층아래로부터는 암호보호의 기능을 약화시킬수 없다. 암호보 

1 요 호의 기 능은 망마디 에 서 층아래 로부터 심 히 약화될수 있다. 


제3절. 망경계 

IPSEC 와 SSL 에 서 보안둘레 들은 콤퓨터 망의 마디 들의 경 계 들과 일 치한다.마디 들은 
안전하지 만 망은 안전하지 못하다고 가정한다.이것은 세계 에 대 한 견해 이 다. 망들은 겹 
싼 부분망으로 이루어 져 있고 이러한 부분망의 경계는 적합한 보안둘레로 된다는것이 
아마 사실일것 이 다. 

국부망 ( LAN ) 을 설치한 어떤 조직 을 실례 로 고찰하자. 파케 트들이 LAN 의 임의의 마 
디를 경유할수 있는데 매개 마디가 다른 마디로 가게 되여 있는 파케트들을 루설할수 있 
는 잠재 적가능성 이 있 다. 기 관은 자기 의 구내 에 서 도청 공격 이 정 보를 로출시킬 수 있는 
다른 방법들에 비하여 기본위협은 아니지만 종업원자료가 로동행정부밖으로 우연히 나가 
지 않도록 할것 을 결정하였다. 이 를 위하여 LAN 을 하나의 경 로기 (그림 13-13) 에 련결 
된 두개의 부분망으로 가론다. 로동행정과에 있는 기계들은 subnet _ l 에 련결되여 있으 
며 기관의 모든 다른 기계들은 subnet _2 에 련결되여 있다. 경로기는 파케트들이 다른쪽 
에 있는 마디가 명시적으로 주소화되여 있는 경우에만 부분망사이에서 파케트를 통과시 
킨 다. 

두개의 부분망이 직접적으로 련결되여 있지 않는 경우에는 매개 부분망에 있는 관문 
들사이 에 안전한 련결을 설정 해 줌으로써 가상사설망 ( VPN ) 을 창조할수 있 다(그림 13- 
14). 부분망들사이의 모든 통신량은 보안둘레를 확장하기 위하여 암호학적보안이 첨부되 
는 이 관문을 통과하지 않으면 안된다. 우의 두 례에서 망경 계의 마디들이 보안기구를 
실현한다는것을 알수 있다. 일반적으로 망의 경계에 있는 기계들은 
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업원자료가 절대로 로동행정부밖에 있는 마디에로 나가지 않도륵 요구할수 있다. 로동행 
정부부분망을 벗어 나는 모든 통신량을 차단하는것은 선택권으로가 아니라 이 보안방책 
을 시 행하는 새 로운 기 구들을 받아 들이 는 방법 으로 하여 야 한다. LAN 의 모든 마디 들 
에서 보호를 개선하는것은 보안의 각도에서 보면 틀린 사고방식 이라고 말할수는 없지만 
그렇다고 하여 현실적 이라고는 볼수 없다. 

보안에 최대의 영향을 주면서도 될수록 변화가 적게 되도록 하기 위하여서는 내부망 
이 외부세계와 접촉하는 위치에 보안기구들을 집결하여야 한다. 


정의: 내부망의 경계를 보호하는 임의의 보안체계에 대한 일반적인 이름으로서 
《 방화벽》을 사용한다. 장벽주체계 란 외부세 계 에 로출된 보안이 강한 콤퓨터체 계 
를 말한다._ 


방화벽 들은 인터네 트보안과 밀접 히 련결되 여 있 다. 독자들은 인증규약의 리용방법 
을 고찰할 때 사용자들이 누구인가를 알고 있 어 야 한다. 인 터네 트우에 서 계 속 늘어 나 
는 미지의 사용자들을 만나려고 할 때 이 가정은 적합하지 못하다. 만일 미지의 사용 
자들에게 통제된 접근을 제공하려고 한다면 어떻게 하면 되겠는가? 원격사용자로부터 
오는 주소 또는 요구한 봉사는 접 근조종을 결정할수 있 다. 따라서 방화벽 의 기 본과제 
는 다음과 같다. 

• 송신자 또는 수신자주소에 기초한 접근조종， 

• 요청된 봉사에 기초한 접근조종， 

• 내부망(위상배 치，주소들, 외부세계 로부터 오는 통신량)의 은폐， 

• f •어 오는 파일에 대한 비루스검사:이것은 전자우편으로 마크로비루스들이 확산되고 
있는 비상사태에 특별히 적합하다. 

• 통신량의 원천에 기초한 인증， 

• 인 터네 트활동의 체 계 등록. 

방화벽에서 리용하는 기본적인 기구들은 파케트려과와 대리봉사의 두가지 형태가 
있 다. 


1. 과케트려과 


망규약은 원 천주소로부터 목적 주소에 로 파케 트들을 보낸 다.파케 트에 관계 되 는 정 보는 
자기 의 머 리부에 있 다.이 머 리 부에 는 원천주소와 목적 지주소는 물론 파케 트가 속하는 
《 응용규약》을 알려 주는 일부 정 보도 포함되 여 있다. 실례 로 TCP 포구번호 23은 
Telnet 파케트를 식별한다. 파케트려과는 다음의 정보에 기초하여 진행된다. 

• 원천주소: 원천주소들을 쉽게 위조할수 있으므로 용도를 제 한한다.즉 내부원천주소 
를 가지고 오는 인터네트로부터 파케트들이 도착하지 못하도록 해주어야 한다. 

• 목적주소: 장벽주체계 로만 파케트들을 보내는 그림 13-16 의 차폐 하는 경로기가 대표 
적 인 실례 라고 볼수 있다. 

• 규약: TCP 포구번호를 리용하면 파케트가 속하는 규약에 기초하여 파케트를 려과할 
수 있다. 실례로 FTP 를 허용하고 Telnet 를 차단시킬수 있다. 
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• 련결: 망층려과(국가적인 조사)는 파케트들을 련결과 결부시키면 실례로 내부 FTP 

요구에 응답하여 도착하는 FTP 파케 트들을 인 터네 트로부터 의 련 결 에 속하는 파케 트 

들과 구별할수 있다. 

2. 대리봉사 

여기서도 FTP 를 실례로 들어 설명하자. 내부망에 있는 의뢰기가 인터네트우의 봉사 
기를 호출하려고 할 때 보안방책은 제한된 범위의 사용자들에게만 FTP 의 사용을 허락 
하며 사용자들이 공격적 이 라고 생각하는 자료들의 내 리적재 ( download ) 를 금지 하게 할 
수 있다. 파케트는 Telnet 련결을 차단하고 FTP 를 허용하는 방책들을 지원하고 있지만 
여기서는 전혀 도움을 받을수 없다. 더우기 외부 FTP 봉사기에로의 접근이 허락되면 의 
퇴기의 망주소가 공개될것이며 이것은 잠재적인 공격자들에게 유용한 정보로 된다. 

사용자신원에 기초하여 방책들을 식별하며 내부망의 정보를 은폐하기 위하여 대리봉 
사를 사용한다. 대 리 봉사들은 통제 된 호출의 다른 하나의 례라고 볼수 있 다. 대 리 봉사들 
은 의뢰기요구를 차단하고 자기의 보안규칙들에 맞게 허가되여 있는가를 결정한다. 만일 
허가되여 있다면 요구는 실제적인 봉사에로 넘어 간다. 대리봉사기는 외부세계가 알수 있 
는 유일한 실체로서 내부사용자들에게는 투명 한것처 럼 보인다. 대 리봉사기는 규약에 특정 
인 접근규칙을 적용하며 사용자신원과 파케트내용에 근거하여 (실례로 특수한 명령이 실행 
되 는것 처 럼 생 각할수 있 다. ) 접 근조종을 실현할수 있 다. 실례 로 대 리 봉사기 는 FTP 를 통 
과시켜 요구를 접수하고 FTP 를 차단하여 보류시킬수 있다. 사용자들은 방화벽에 체계를 
등록하여서는 안되므로 보관되여야 하는 등록자리는 없다. 응용에 관계되는 사건들은 등 
록될수 있다. 물론 보호하려 고 하는 매개 봉사마다 대 리 봉사기를 요구할수 있다. 이 방법 
은 시 장에 출하되 는 인터 네 트봉사들이 계 속 증가하고 있는 현실 에 쉽 게 대 처할수 없 다. 

동일한 원리를 어떠 한 규약준위 에서나 리용할수 있다. 만일 개별적 인 응용규약을 보 
호하려고 한다면 이 규약에서 교환된 통보문(대화)들을 방화벽 에서 다시 조립하고 응용 
에 특정 인 보안검사를 적 용하여 예정된 봉사와 통신을 진행할것 이 다. 그러 나 복합규약에 
서는 이러한 전략으로 하여 성능저하가 생길수 있다. 

3. 2중홈주콤퓨터방화벽 

2중홈주콤퓨터란 대면부가 두개인 기계를 말한다. 이러한 방화벽은 인터네트와 내부 
망사이에 서 파케 트들을 단순히 보내 는것 이 아니 라 이 파케 트들을 자기 의 보안규칙 에 따 
라 처 리한다. 2중홈주콤퓨터 는《본질 에 있어서 하나의》방화벽 이다. 즉 파케 트려 과와 
대 리봉사를 제 공한다. 내부망우의 의뢰기들은 방화벽 에 있는 대 리봉사기 들을 리용하거 나 
방화벽 에 직 접 등록함으로써 인 터네 트에 있 는 봉사들에 접 근할수 있 다. 

4. 차폐형주콤퓨터방화벽 

2중홈주콤퓨터들은 일반적으로 Unix 체계 에 적응하여 구성된다. 그림 13-15 의 방화 
벽은 외부세계와 직접 마주하고 있는 복합체계 로 된다. 
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이와 갈은 환경에 대하여 믿음이 가지 않으면 방화벽이 하는 기능의 일부를 떼내여 
기능은 제한되지만 보다 강한 체계를 구축하고 그를 통하여 인터네트에 련결시킬수 있다. 



그림 13-15. 2중홈주콤퓨터방화벽 


그림 13-16 의 방화벽 ([28] 에서는 차페형주콤퓨터방화벽 이라고 부른다.)은 파케트려 
과를 실현하고 인터네트와 대면부를 제공하는 차페하는 경로기와 내부망우에 있는 장벽 
주콤퓨터로 이루어 져 있다. 



그림 13-16. 차폐 형 주를퓨터 방화벽 
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차폐하는 경로기는 허용되는 모든 입력통신량을 장벽기계에로 보내며 여기서 파케트 
들을 내부망으로 보내기전에 다시 접근조종을 결정할수 있으므로 장벽기계에서 오는 내 
부파케트들만 접수한다. 

파케트려과를 방화벽이 실행하는 기타 과제들과 분리시키면 복합경로기의 기능이 단 
순해 지므로 두가지 성능이 다 좋아 진다. 그것은 경 로문제 에 대 하여 하드웨 어를 최 량화 
할수 있으므로 보안에 대한 믿음성 이 더 높아 지기때문이 다. 

이런 의미에서 차페형주콤퓨터방화벽은 2중홈기계에 비하여 안전하다고 주장할수 있 
다. 그러 나 높은 준위 담보는 제 한된 기 능에만 적 용되 고 오히 려 대 리봉사기 들이 보안과 
관계되는 특징들을 보다 많이 제공한다. 

5. 차폐형부분망방화벽 

차폐 형 부문망은 우에 서 본 두가지 방법(그림 3-17) 의 특징 을 결 합하고 있 다. 주변망 
(또는 비 무장지 대 ( DMZ ) 라고도 부론다. )은 내 부망과 인 터 네 트사이 에 위 치 하고 있 다. 차 
페하는 경 로기 는 인 터네 트와 주변망사이에 놓인 다. 

외 부리용자들을 처 리하는데는 단순한 파케트러 과방책 들이 면 충분하다. 

주변망과 내부망사이의 2중홈기계방화벽 은 믿음성은 떨 어 지지 만 내부사용자들을 지 
배하는 보다 복잡한 방책 들을 적 용할수 있 다. 
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그림 13-7. 차페형부분망방화벽 








주변망은 Web 봉사기와 같이 외부세계에 호출될수 있어야 하는 민감하지 않은 기계 
들에 적합한 위치로 된다. 당신의 Web 폐지를 열람하는 외부사람들은 내부망에 전혀 들 
어 갈 필요가 없으며 만일 실제적으로 대중적인 신망에 관심을 가진다고 하면 봉사기에 
있는 자료를 CD - ROM 과 같은 쓰기 불가능한 매체에 기억시켜야 한다. 

요약 

방화벽의 구축에서 제기되는 문제들은 두가지로 겹쳐 있다. 기능의 측면에서 방화벽 
의 보안기구들은 주문자보안방책을 만족시켜 야 한다. 주문자보안방책은 흔히 주소에 기 
초한 방책과 신원에 기초한 방책이 혼합되여 있다. 이밖에도 방화벽은 약화되거나 우회 
될수 없다는 담보가 있어야 한다. 복합체계에서는 기계들이 공격을 받을수 있는 위치에 
있게 되므로 이러한 담보에 도달하기가 쉽지 않으며 방화벽을 틀리게 등록하여 침해를 
받은 사실들은 많다. 

내부망우에 있는 기계의 전화가입선들은 공격 자들이 방화벽을 우회하게 하는 고리로 
되고 있다. 실현하기 시끄러운 보안시행들은 상반되는 보안시행으로 시험하는 경우도 있 
다. 만일 방화벽이 지나치게 망접근에 간섭한다면 사용자들은 효과성문제를 들고 나오 
면서 전화가입선들을 요구할것이 다. 끝으로 이야기하고 싶은것은 방화벽이 정확히 설치 
되여 있다고 하여도 내부기계에 대하여 보안을 하려고 하는 경우에는 차단해 주는것이 
더 좋다는것이다. 그 리유는 방화벽은 내부로부터의 공격에 대해서는 보안을 거의 할수 
없기 때문이다. 


이 장의 문헌안내 

이 장에서는 망보안에서 제기되는 문제점들과 방법들을 간단히 고찰하였다. 

망보안은 [53] 에서，인터네 트보안은 [8] 에서 포괄적 으로 취 급되 였다. 

Internet Engineering Task Force 의 Web 싸이트는 다음과 같다. 

http : / / www . idtf . org 

IETF 규격들은 아직 완성되지 못하였다. 

이에 대해서는 인터네트보안에 관한 도서들에도 반영되였다. 

RFC 와 인터 네 트초안에 대 한 자료들도 Internet Draft Stiod on Directories 로부 
터 얻을수 있다. 즉 

ds . internic . ner(US East Coast ) 
nic . nordn . net ( Earope ) 
ftp . isi . edu(US West Coast ) 
munnari . oz . an (Pacific Rim ) 

IPSEC 는 RFC 1825, RFC 1826, RFC 1827 에서 정의되였다. 

SSL 우의 Netscape 폐지는 다음과 같다. 
http ：// www . netscape . com / eng / ssl 3 

방화벽 에 관한 가치 있는 도서 는 [28,29] 이 다. K 8] 에서 도 Web 보안에서 방화벽 의 
역할에 대하여 넓은 범위에서 취급하였다. 
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믿 음성 있는 정 보체 계 ( TIS ) 는 쉽 게 응용할수 있는 방화벽 도구를 가지 고 있으며 그 
의 Web 싸이트주소는 

http ：// www . sctc . com 

판매자 Web 싸이트는 현재의 방화벽제품들을 찾아 보기 위한 장소이 다. 

례 하면 사이 드와인더방화벽 에 관한 자료는 다음의 주소에 서 찾을수 있 다. 

http ：// www . sctc . com 


련습문제 

1. ARP (주소결정규약)는 하드웨 어주소들을 IP 주소들과 련관시키 고 있다 [8]. 이 련관 
은 시간에 따라 변한다.망의 매개 마디는 대응하는 IP 와 하드웨어주소에 대한 ARP 
완충기억기를 가지고 있다.완충기억기의 입 력은 몇분이 지 나면 유효기 간이 끝난다. 
자기 의 완충기억 기 에 없는 IP 주소에 대 한 하드웨 어 주소를 찾으러 고 시 도하는 마디 는 
IP 와 하드웨 어주소를 포함하는 ARP 요구를 알려 준다. 요구한 IP 주소를 가지는 마 
디 는 자기 의 장치주소로 응답한다.다른 모든 마디 는 이 요구를 무시할수 있다. 
ARP 규약에서 기 만할수 있는 공간은 무엇 인가? 기 만에 대 해 어떠한 방어대 책을 취 
할수 있는가? 

2. IPSEC 에 서 인증머 리 부 또는 ESP 머 리 부로 자료본문을 인증할수 있 다.두 방법 들을 
비 교하시 오.어 느것 이 더 좋은 보호방법 으로 되 는가? 

3. IPSEC 와 SSL 에 서 규약을 시 행하는 마디 들은 안전하다고 가정한다.이 가정 이 사실 
로 되게 하기 위해서는 이 마디들에 어떠한 보안기구들을 보충할 필요가 있는가? 

4. 안전한 전자우편체 계로부터 어떠 한 보안특징들을 기대할수 있는가? 안전한 전자우 
편을 실행 하고 있는 기 계 로부터 기 대할수 있는 보안특징 들은 무엇 인가? 닉명 을 제공 
하려는 봉사와 그렇지 않은 봉사들사이에 차이를 말하시오. 

5. 망들은 점차 원격으로 관리되고 있다. 원격망관리에 대한 보안의 의미를 분석하고 
안전한 망관리에 요구되는 보안기구들을 서술하시오. 

6. 전문가들은 대 리봉사기 들과 파케트러 과방화벽 의 상대 적강도에 대 하여 의 견을 달 
리하고 있다.전문가들의 론거를 하나하나 고찰하고 자기 견해를 세워 론박해 보 
시오. 

7. 인터네트는 비루스감염의 새로운 원천으로 되고 있다. 방화벽들은 외부로부터 내부망 
을 보호한다. 방화벽들이 비루스감염을 막을수 있는가? 여러가지 형태의 방화벽들을 
고려하여 대 답하시 오. TCP / IP 층 또는 응용층에 서 암호보호가 비 루스를 보호하는 
방화벽의 능력 에 어떤 영향을 주는가? 

8. 통신보안에서 MLS 방책 [12 的들의 시행을 고려하여 콤퓨터망에 련결된 요소들로 여 
러 준위 보안체 계 를 구성 하시 오. 개 별적 인 마디 들의 조작체 계 에 서 어 떠 한 보안특성 들 
이 요구되는가? 
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제 4 편. 리론 


제14장. 자료기지보안 


자료기지는 단순히 자료를 기억만 하는것이 아니라 사용자들에게 정보를 제공한다. 
따라서 자료기지보안은 민감자료의 보호와 관련되여 있을뿐아니라 사용자들이 일정한 통 
제를 받으면서 정보를 검색할수 있는 기구로 고찰되여야 한다. 이 두가지 문제점들은 조 
작체계보안과 자료기지보안의 차이를 대조적으로 강조하고 있다. 자료에로의 접근에 비 
하여 많은 정보에로의 접근을 조종하여야 하므로 접근을 요구하는 주동체의 조종에 초점 
을 두어야 하는것은 명백하지만 자료의 보호는 여전히 중요한 문제로 되고 있다. 

독 

• 자료기지체계에 고유한 보안문제들을 분석한다. 

• 관계형자료기지에서 보임새가 어떻게 접근조종에 리용될수 있는가를 리해한다. 

• 통계자료기지에서 정보보호문제를 평가한다. 

• 자료기지관리체계와 그밑에 놓이는 기본조작체 계의 보안기구들사이 의 잠재적 인 호상 
작용을 검토한다. 


제1절. 소개 

자료기지란 어떤 의미를 가지도록 배렬한 자료의 집합을 말한다. 자료기지관리체계 
( DBMS ) 는 자료를 편성 하여 사용자들에 게 정 보를 검 색할수 있는 수단을 제 공한다. 만일 
정보에로의 접근을 완전히 조종할수 없다면 어떤 자료를 자료기지에 보관하는것을 아마 
도 주저하게 될것 이 므로 자료기지 체 계의 봉사는 쓸모가 적 어 지 게 된다. 실례 로 자료기 
지는 일반적으로 개별적인 대상들에 대한 정보(이를테면 회사에서는 종업원들의 기록， 
대학에서는 대학생들의 기록，세관에서는 수입관세목록)들이 보관되여 있다. 여러 나라 
들에서는 사적비밀보호에 관한 법 을 제정 하고 있으며 개 인자료를 보호하기 위한 법적책 
임을 지 니고 자료기지를 관리하는 기관들을 두고 있다. 따라서 자료기지보안은 초기부터 
콤퓨터보안에 서 중요한 자리 를 차지하였 다. 자료기 지보안은 조작체 계보안과 구별되 기 때 
문에 특별한 자리를 차지하였다. 아래 에서 이 렇게 주장할수 있는 론거를 보여 준다. 

조작체계는 자료를 관리한다. 사용자들은 조작체계기능을 호줄하여 파일을 창조하거 
나 삭제 또는 파일을 열어 읽기 또는 쓰기를 한다. 이러한 조작들중 어느 하나도 파일의 
내 용을 론의하는것은 없다. 파일의 창조나 삭제，열기 는 조작체 계 에 의한 접 근조종결심 
에 따라 진행되는 가장 적합한 실례로 된다. 접근조종의 결심은 파일의 내용이 아니라 
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사용자의 신원，파일에 정의된 허락，접근조종목록，보안표식 등에 관계된다. 이것은 어 
떤 원리적인 보안리론이 아니라 단순히 타당한 공학적인 결정방법에 기초하고 있다. 

자료기지의 기 입항목은 정보를 담고 있다. 자료기지사용자들은 자료기지 기 입항목의 
내용을 고려하여 조작을 진행한다. 자료기지의 탐색은 자료기지의 가장 대표적인 리용이 
라고 말할수 있다. 바로 그렇기때문에 자료기지관리체계에 의한 접근조종을 결정할 때 
자료기지의 기입항목의 내용도 고려하게 된다. 보편적인 실례로서 주어 진 한계값보다 
높은 생활비들에 대해서는 기밀성이 준수되여야 하는 생활비자료기지를 들수 있다. 요약 
해서 말한다면 자료기지보안은 사람-기계의 관계에서 사용자쪽에 더 치우치게 된다(그림 
14-1). 



그림 14-1. 사람-기계척도에서 본 자료기지보호의 위 치 


얼핏 보기에는 자료기지에서 민감정보를 보호하는것이 쉬운것처럼 생각할수 있다. 
생 활비자료기지 에서 는 생 활비 의 액 수를 검사하는 조건을 단순히 질문에 첨 가하면 된다. 
만일 어느 자료를 보호하여야 하는가를 알고 있다면 이러한 방법은 틀림없이 실현하기 
쉽 다고 볼수 있지만 침입 자가 여 러 가지 사소한 정보에도 상당히 흥미를 가진다면 사정은 
달라 진다. 아래에서는 가능한 정보원천의 범위를 보여 주고 있다. 

• 정확한 자료: 자료기지에 보관된 값. 

• 한계 : 생활비와 같이 수값의 상한 또는 하한은 이미 쓸모 있는 정보일수 있다. 

• 부정적결과: 자료기지에 많은 범죄적증거가 포함되여 있다면 개별적사람들이 조금 
이 라도 확신하는 정 보는 민감정 보이 다. 

• 존재성 : 자료의 존재는 그자체 가 민감한 정보로 될수도 있다. 

• 확률값: 다른 질문의 결과로부터 어떤 정보를 추축할수 있는 실재. 

결국 모든 우발적 인 사건에 대 처하여 자신을 방어하여 야 한다. 만일 자료기 지 가 통 
계적 질문을 허 용한다면 정 보의 보호는 보다 까다로운 문제 로 된다. 실례 로 통계 적질문으 
로는 전체 생활비의 합이나 평균값을 돌려 줄수 있다. 이러한 질문들을 잘 결합하면 보 
호하려고 하는 정보를 알아 낼수 있다. 이러한 문제를 제14장 4절에서 고찰한다. 

민감정보가 자기의 자료기지에서 루설될수 있는 여러가지 경로에 대하여 이미 주의 
를 주었 다. 물론 보안을 신중하게 선택하여 야 하지 만 자료기 지 가 어 떤 유용한 목적 에 쓰 
인다는 사실을 놓치지 말아야 한다. 자료에 접근하지 못하게 하는 지 나치게 제 한적 인 방 
책은 비록 민감정보가 로출되는 일이 없다 하더라도 자료기지체계의 가치는 떨어 진다. 
그러므로 민감정보를 보호하면서도 민감정보가 아닌것은 될수록 공개되도록 정밀성을 보 
장하기 위하여 애써 야 한다. 

자료기지의 기입항목은 콤퓨터체계의 외부에 있는 실체에 대한 정보를 담고 있다.이 
러 한 실체로서는 창고의 재고수준，대 학생들의 시험결과,은행구좌의 잔고량，비행기좌석예 



약이 될수 있다. 자료기지기입항목들은 이러한 외부사실들을 정확히 반영하고 있어야 한 
다. 자료기지보안은 응용에 특정 인 완정성보호를 결합하여 다음과 갈은 내용들이 결합되 
여 야 한다. 

• 내부적 일관성 : 자료기 지 에 서 기 입 항목들은 어떤 제정된 규칙에 따른다 . 실례로 재고 
수준은 령 아래로 떨어 질수 없다. 

• 외 부적 일 관성 : 자료기 지 에 서 기 입 항목들은 정 확하다. 실 례 로 자료기 지 에 서 나타내 는 
재 고수준들은 창고의 재 고수준과 일치한다. 자료기지관리체 계는 자료기지 를 갱 신할 
때 오유를 피 하게 해 줄수 있지 만 DBMS 에만 의 거해서 는 계 속 일관한 상태 로 되 게 
할수 없 다. 이 러 한 속성 을 정 확성 이 라고 한다. 

제1장 4절의 계층모형에서 자료기지관리체계는 조작체계의 웃부분에 있는 봉사층에 
놓여 있을수 있다. DBMS 는 조작체계에서 취급하지 않는 자료기지에 고유한 보안요구들 
을 만족시켜 야 한다. DBMS 는 조작체 계안에 서 의 보호기구와 결 합하여 보안을 시 행할수 
있으며 또한 조작체계에 적합한 조종기능이 없는 경우 혹은 조종기능이 복잡하여 조작체 
계에 포함시킬수 없는 경우에는 자기의 조종기능에 기초하여 보안을 실현한다. 더우기 
DBMS 는 응용층에서 보안조종을 정의하는 도구로도 될수 있다. 그림 14-2 는 자료기지보 
안이 서로 완전히 다른 추상화의 층에 보안기구들을 포함하고 있다는 사실을 보여 주고 
있 다. 



응용 



봉사 



조작체 계 


OS 핵심부 

장치 


그림 14-2. 자료보호의 위치 


제2절. 관계형자료기지 

오늘 관계형 자료기지는 자료기지를 편성 하는 여 러 가지 모형들중에서 가장 널리 리용 
되고 있다. 여기서는 자료기지에 대한 개념을 이미 알고 있다고 가정하고 관계형자료기 
지에 대하여 간단히 소개만 한다. 구체적 인 내용은 [3 기을 참고하시오. 


관계형자료기지 : 표 ( table ) 와 그것들의 집합으로만 이루어 진 자료기지 . 


관계형자료기지에 대한이 정식화는 그것의 물리적인 편성을 의미하는것이 아니라 
사용자에 의 하여 지 각되 는것 을 의 미한다. 관계형자료기 지 는 또한 자료기 지보안을 론의 하 
는데 적합한 추상화준위로 되는 경우도 있다. 
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관계 (relation) K 는 형식적으로 DiXD 2 K*- 公 D„ 의 부분모임 이 다. 여기서 D x , …， 
公„는 «개의 속성 을 가지는 령 역 이 다. 관계 에서 요소들은 vt e 公,+인 «개의 무이 ( Vl , •••, 
v„) 로 된 다. 즉，• 번째 속성 의 값은 다의 요소로 되 게 된 다. 무이 (tuple) 안의 요소들을 
흔히 마당 (field) 이라고 부른다. 마당에 아무런 값도 들어 있지 않다면 이 자리에 특수 
한 령값 (null) 을 들여 보내여 이것을 나타낸다. 이 령의 의미는《기입항목이 없다.》는 
뜻을 나타내지 《기입항목이 알려 져 있지 않다.》는것이 아니다. 

그림 14-3 에서 관계들은 려행사자료기지의 부분으로 될수 있다. 관계 Diary 는 이 
름，날자，비행번호，상태의 4 가지 속성을 가진다. 


이름 

상태 

Alice 

Bob 

사사 

공무 


이름 

날자 

비행 번호 

상태 


비행 번호 

목적지 

출발시간 

날자 

Alice 

월 

GR123 

사적 


GR123 

THU 

7:55 

1 - -4 - 

Bob 

월 

YL011 

공무 


YL011 

ATL 

8:10 

123 45-7 

Bob 

수 

BX201 



BX201 

SLA 

9:20 

1-3-5 - - 

Carol 

화 

BX201 

공무 


FL9700 

SLA 

14:00 

-2-4-6 

Alice 

목 

FL9700 

공무 


GR127 

THU 

14:55 

-2 - -5 - - 


그림 14-3. Diary 와 Flights 사이의 관계 


• 이름: 유효한 모든 주문자이름 

• 날자: 요일 즉 일，월，화，수, 목, 금, 토 

• 비행번호: 2문자로부터 4문자까지로 된 비행번호 

• 상태 : 공무려 행，사사려 행 

관계형자료기지 에서 정 보를 검색하거 나 갱 신할수 있는 방법 을 기술하는 표준언어는 
구조화된 질 문언어 SQL[5 幻 이다. 자료조작을 위한 SQL 조작들에 는 다음과 갈은 작용이 
포함되여 있다. 

SELECT ： 관계 에 서 자료를 검 색한다. 

실례: 

SELECT Name, Status 
FROM Diary 
WHERE Day=’Mon’ 

은 다음과 갈은 결과를 돌려 준다. 

UPDATE ： 관계에 있는 마당을 갱신한다. 
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실례: 


UPDATE Diary 
SET Status=private 
WHERE Day =， Sun ， 

은 일요일의 모든 려행 이 사사려행 이 라는것을 나타낸다. 

DELET ： 관계 로부터 무이 를 삭제한다. 

실례: 

DELETE FROM Diary 
WHERE Name =’ Alice ’ 

는 Diary 에서 Alice 에 대한 려행을 모두 지워 버 린다. 

INSERT ： 무이를 관계에 삽입한다. 

실례: 

INSERT INTO Flights ( Flight , Destination , Days ) 

VALUES ( ’ GR 005 ’ , ’ GOH ’ , ’ 12-45 - ’ ) 

는 Flight 에 새로운 무이를 삽입한다. 이때 마당 Depart 은 아무런 변화도 없다. 

모든 경우에 보다 복잡하게 구성할수도 있다. SQL 의 복잡한 문제들을 일일 이 설명 
하는것은 이 책의 목적이 아니므로 례증으로 될수 있는 하나의 실례만 제시하겠다. 실례 
로 Thule 로 가려고 하는 사람을 찾기 위하여 다음의 프로그람을 실행시킨다. 

SELECT Name 
FROM Diary 
WHERE Flight IN 
(SELECT Flight 
FROM Flights 

WHERE Destination =’ THU ’) 


자료관계들은 일반적으로 표로 시각화할수 있다. 속성들은 표에서 렬에 해 당하므로 
속성의 이름을 그 렬의 표제로 나타낸다. 표의 행들은 자료기지에서 무이 (기록)에 대응 
한다. 관계 모형 에 서 관계 에 는 련결 ( relationship ) 이 나 다른 표에 로의 지 시 자가 포함될수 
없다. 표(관계)들사이의 련계는 오직 다른 관계에 의해서만 주어 질수 있다. 

관계형 자료기지 에서 여 러 가지 종류의 관계들이 존재할수 있다. 

• 기본관계 : 실관계라고도 부른다. 이름 붙은 관계 및 자률적인 관계이다; 그것들은 
그자신의 권한에 속하여 다른 관계로부터 유도되지 않으며 《자기의 고유한》기억 
된 자료를 가진다. 

• 보임새 : 이 름을 가지 는 파생 관계 들로서 다른 이름을 가지는 관계 에 의하여 정의된 
다; 자기의 기억된 자료를 가지지 못한다. 
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• 순시상: 보임새와 마찬가지로 이름을 가지는 파생관계들로서 다른 이름을 가지는 관 
계에 의하여 정의된다; 자기의 기억된 자료를 가진다. 

• 질문결과: 질문의 결과; 그것들은 이름을 가지거나 가지지 못할수 있다. 

그것들을 자료기지 per se 에서 지속적으로 존재하지 않는다. 

실례 로 누가 려 행하려고 하며 날자가 언제 인가를 나타내는 Diary 순시상은 다음과 같 
이 정의한다. 

CREATE SNAPSHOT Travellers 
AS SELECT name-day 
FROM Diary 

1. 자료기지열쇠 

매 관계에서 전체 무이들은 유일한 방법으로 식별할수 있어야 한다. 때때로 하나의 
속성이 식별자로 리용될수 있다. 이 목적에 쓸수 있는 속성들의 선택이 있을수 있다. 한 
편 하나의 식별자를 구성하는데 하나이상의 속성 이 필요되는 경우도 있을수 있다. 


정의: 관계의 1차열쇠는 그 관계에서 하나밖에 없는 최소식별자이다. 관계 요의 1 
차열쇠 꼬는 다음의 조건을 만족시켜야 한다. 

• 일값성 : 임의의 시각에 꼬에 대하여 갈은 값을 가지는 요의 무이는 없다. 

• 최소성 : 포가 합성열쇠이면 일값성을 파괴하지 않으면서 생략할수 있는 포의 성 
분은 없다. 


우의 례 관계 Diary 에서 이름과 날자의 조합은 1차열쇠로 될수 있다(주문자들이 하 
루에 한번의 려 행만 한다고 가정 한다). 관계 Flights 에서 1차열쇠는 비 행 번호이다. 

모든 관계는 1차열쇠를 반드시 가져 야 한다. 그것은 2중화되는 무이를 포함할수 있 
는 관계는 없기때문이다. 이것은 관계의 형식적인 정의로부터 직접 나온다. 어떤 관계의 
1차열쇠 가 다른 관계의 속성 으로 쓰일 때 이것을 그 관계의 외부열쇠 라고 부론다. 우의 
실례에서 비행번호는 관계 Flights 에서 1차열쇠로 되지만 관계 Diary 에서는 외부열쇠로 
된 다. 

2. 완정성규칙 

관계형 자료기지 에서 는 완정성 규칙들을 정의 하면 내부일관성 을 실현하고 외부일 관성 
(정확성)을 유지하는데 도움이 될수 있다. 대부분의 완정성규칙들은 응용에 따라 다르지 
만 관계형자료기지모형에 고유한 규칙들은 두가지 이 다. 


실체완정성규칙: 기본관계에서 령을 접수할수 있는 1차열쇠의 요소는 없다. 


이 규칙은 우리들이 기본관계들에서 전체 무이를 찾을수 있게 한다. 기본관계에서 
무이들은《실제적인》실체에 대응하기때문에 우리가 그것을 식별할수 없다면 자료기지 
에서 그러 한 식 별을 표현하지 못할것 이 다. 


|참조완정성규칙: 자료기지는 맞지 않는 외부열쇠값들을 포함하고 있지 말아야 한다. | 
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외부열쇠값은 어떤 다른 표의 기 입항목에 대한 참조를 나타낸다. 맞지 않는 외부열 
쇠값이 란 참조된 표에서 1차열쇠로 나타나지 않는 값을 말한다. 맞지 않는 외부열쇠값은 
존재하지 않는 무이의 참조로 된다. 

이 두가지 규칙외에도 응용에 특정 인 완정성규칙들이 더 있을수도 있으며 이 규칙들 
에 의해 자료기지가 쓸모 있는 상태로 되기때문에 중요하다고 말할수 있다. 대표적으로 
이러한 완정성규칙들을 리용하여 다음과 갈은것을 할수 있다. 

• 마당검사: 자료기 입 항목에 서 오유가 발생하지 못하게 한다. 실례 로 Diary 관계 에 서 
는 기 입된 값이 공무려행 인가 사사려행 인가를 검사하는 규칙을 통하여 상태 ( status ) 
속성에 임의의 값들이 삽입되지 않도록 한다. 

• 유효범위검사: 통계자료기지에서는 질문의 결과가 충분히 많은 표본에서 계산되였는 
가를 검사하는 규칙 이 있으면 좋을것 이다. 그럼 14-4 의 Student 관계를 본다면 표본 
의 크기가 3보다 크지 않는 경우에는 평균성적 67을 기정으로 되돌리는 규칙을 정의 
할수 있 다. 

• 일관성검사: 서로 다른 관계에서 기입항목들은 외부세계의 동일한 측면을 가리킬수 
도 있으므로 이 측면에 대한 일관성 있는 견해를 표현하여야 한다.실례로 주문자가 
려 행하는 날자가 예정된 출발날자인가를 검사할수 있다. Alice 가 GR 123 항로를 월요 
일 에 려행 한다는것 은 이 항로가 월요일 과 목요일 에 만 출발한다는 사실 과 모순되 지 
않는다. 그러나 Carol 이 BX 201 항로로 화요일에 예약하면 비행기가 월요일，수요 
일，토요일에 떠난다는 사실과 맞지 않는다. 매개의 마당을 비교하는 완정성규칙을 
적용하면 려행자가 이러한 오유를 범하지 않도록 할수 있다. 

이러한 형태의 완정성규칙들은 응용층에서 관리된다. DBMS 는 이러한 규칙을 제정하 
고 실현하는 하부구조를 제공한다. 실례로 완정성방아쇠는 자료기지에서 대상에 첨부될 
수 있는 프로그람으로서 그 대 상의 개 별적 인 완정 성특성 들을 검 사한다. UPDATE , 
INSERT , DELETE 조작이 대 상을 변경하려 고 시 도할 때 완정 성방아쇠 는 절환되 여 완정 
성 검사를 한다. 

앞으로 기 밀 성 과 완정 성 사이 의 잠재 적 인 대 립 문제 를 언급하지 않으면서 이 문제 에 
대 한 론의 를 계 속해 나가려 고 한다. 완정 성규칙 의 평 가에서 민감정보의 접 근을 필요로 
할 때 민 감정보를 보호하기 위하여 규칙 을 불완전하게 (그리 고 정 확치 못하게 ) 평 가하거 
나 자료기 지 의 일 관성 을 보장하기 위하여 일 부 민감정 보를 루실 하든가 하는 이 률배 반관 
계 에 부딪치 게 된 다. 


제3절. 접근조종 

민감정 보를 보호하기 위하여 DBMS 는 사용자들이 자료기 지 를 리 용하는 방법 을 조종 
하여 야 한다. 조종을 실현하는 방법 을 보기 위하여 자료기 지의 접 근이 두 준위 에서 진행 
된다고 하자. 

• 기 본관계 우에 서 자료처 리 조작， 

• 보임새 또는 순시상과 같은 합성조작. 


계1장 4절 1로 되돌아 가면 두가지 방향에서 접근조종을 고찰할수 있다. 
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• 적용할수 있는 조작을 사용자에 제한한다. 또는 

• 매개 개별적자료항목에 대한 보호요구를 정의한다. 

DBMS 에서 합성조작들에 대한 조종은 사용자들이 자료기지를 사용하는 방법을 규제 
한다. 한편 기 본관계 의 조작을 검 사하면 자료기 지 의 기 입항목들을 보호할수 있 다. 조종 
하려 고 하는 접근조작의 형 태를 결정 함으로써 시행되 여 야 할 방책의 초점 에 영향이 미치 
게 할수도 있다. 반대로 방책의 초점에서는 조종하는 조작이 어떤 형태인가를 알려 주어 
야 한다. 어떤 선택항목을 선택해도 다음의 두가지 속성이 있게 된다. 

• 완전성 : 자료기지의 모든 마당들이 보호된다. 

• 일 관성 : 자료항목의 접 근을 지 배하는 규칙 들이 충돌하는 경 우는 없 다. 

만일 각이한 접 근조종을 결 정하는 여 러 가지 방법 으로 접 근될 수 있는 자료기 지 의 요 
소가 없 다면 보안방책 은 일 관적 이다. 

합법 적 인 접 근요구를 막아서 는 안되며 또한 제정된 접근방책 을 우회하는 방법 이 있어 
도 안된다. 

1 . SQL 보안모형 

기본 SQL 보안모형은 이미 익숙되여 있는 형식에 기초하고 있으며 3가지 실체에 기초 
하여 자유접근조종을 실현한다. 

• 사용자: 자료기지의 사용자들. 가입시 사용자신원을 인증한다. DBMS 는 자기의 가 
입 을 실행하거 나 조작체 계 에 의하여 인증된 사용자신원을 접 수할수 있 다. 

• 동작: SELECT , UPDATE , DELETE , INSERT 

• 대 상: 표들，보임 새 , 표와 보임 새 의 렬(속성 ) . SQL 에 는 또한 사용자가 정 의하는 
구축자도 들어 있다. 

사용자가 객체 에 동작을 호출하면 DBMS 는 요청된 동작을 허 락하겠는가를 결정한다. 
객체가 창조되면 사용자는 그의 소유자로 지정되며 초기에 소유자만이 객체에 접근한다. 
다른 사용자들은 먼저 특권을 받아야 한다. 특권요소들은 다음과 같다. 

( grantor , grantee , object , action , grantable ) 

SQL 보안모형 을 뒤받침해 주고 있는것은 특권과 보임새이며 응용지향의 보안방책 을 
정의 하기 위 한 틀거 리를 제공한다. 

2. 특권의 수여와 취소 

SQL 에 서 특권들은 GRANT 와 REVOKE 조작에 의 하여 관리 된 다. 특권이 란 특수한 
동작이라는 뜻으로서 표의 일정한 속성 으로 제 한될수 있다. 실례 로 두개의 려행사 Art 
와 Zoe 가 Diary 표의 부분을 조사 및 갱신하려고 한다. 


GRANT SELECT , UPDATE ( Day , Flight ) 
ON TABLE Diary 
To Art , Zoe 

특권은 선택적으로 취소될수 있다. 
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REVOKE UPDATE 

ON TABLE Diary 
FROM Art 

다음특징 은 이 밖에 도 GRANT 선택 항목에 의 하여 SQL 에 서 실현되 는 특권을 허 락하 
는 권리 를 부여하는것 이 다. 

례를 들어 

GRANT SELECT 

ON TABLE Diary 
To Art 

WITH GRANT OPTION 

으로 하면 려행사 Art 는 또한 Diary 표우의 특권을 Zoe 에 줄수 있다. 

GRANT SELECT 

ON TABLE Diary 
To Zoe 

WITH GRANT OPTION 

표 Diary 의 소유자가 Art 에 부여된 특권을 취소하는 경우 Art 가 허 락하는 모든 특권 
들은 취소하여야 하며 따라서 취소는 계단식으로 되여야 하며 포기할 필요가 있는 정보 
는 자료기지체계에 의하여 유지되여야 한다. 

또한 언급되여야 할것은 다른 사용자들이 자료의 접근을 일단 허 락하였다면 원본자료 
를 어느 정도 조종할수 있다고 해도 자료의 소유자는 이 자료로부터 도출되는 정보가 어 
떻게 쓰이게 되겠는가를 조종할수 없다. 원본표에로의 어떠한《쓰기》접근을 요구하지 
않고도 표로부터 자료를 읽고 이 자료들을 다른 표에로 복사할수 있다. 

3. 보임새에 의한 접근조종 

보임새들은 파생관계들이다. 보임새를 창조하는 SQL 조작은 다음의 형식을 가진다. 

CREATE VIEW view_name [ (column [, column ].. 

AS subquery 

[WITH CHECK OPTION ] : 

기 본관계의 기 입항목에 대 하여 직 접 특권을 부여 함으로써 관계 형자료기지 에서 접근조 
종을 실현할수 있다. 그러나 적지 않은 보안방책들은 보임새로 그리고 바로 그 보임새들 
의 특권으로 나타낼수 있다. 보임새의 정의에서 부분질문은 매우 복잡한 접근조건을 서 
술할수 있다. 

간단한 실례로 Diary 관계에서 모든 공무려행을 포함하는 보임새를 구성한다. 

CREATE VIEW business_trips AS 
SELECT *FROM Diary 
WHERE Status : ’ business ’ 

WITH CHECK OPTION ； 
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보임 새 에 의한 접 근조종은 응용층의 적 당한 장소에 놓일수 있 다. DBMS 는 조종을 실 
현하는 도구들만 제공한다. 보임새들이 주의를 끌고 있는 여 러가지 리유는 

• 보임 새 들은 유연성 이 있 고 응용요구에 가까운 서 술준위 에 서 접 근조종을 정 의할수 있 
게 한다. 

• 보임새들은 문맥의존 및 자료의존보안방책을 시 행할수 있다. 

• 보임새들은 통제된 호출을 실현할수 있다. 

• 안전한 보임 새 들은 보안표식 들을 교체할수 있 다. 

• 자료를 쉽게 다시 분류할수 있다. 

의 특성이 있기때문이다. 

그림 14-4 의 응용지향접 근조종은 다음과 갈은 보임 새 로써 표현 할수 있 다. 

CREAT VIEW High_FLyers AS 

SELECT *FROM Students WHERE Grade 〉 

(SELECT Grade FROM Students WHERE Name = current _ user ( )); 

는 보임새를 리용하여 평균성적이 개인의 성적에 비하여 높은 대학생들만 현시한다. 

CREATE VIEW My_Journeys AS 
SELECT *FROM Diary 
WHERE Customer = current _ user () : 

는 보임새를 사용하여 주문자가 예약한 그림 14-3 의 려행만 현시한다. 

자료기지에 접근조종표를 첨부하면 자유접근조종을 실현할수 있다. 보임새는 이 관계 
를 가리킬수 있다. 이런 식으로 접근권한을 주고 취소하는 사용자의 권리를 통제하는 방 
책 들은 물론 그룹성 원자격 에 기 초한 접 근조종도 표시할수 있 다. 이 밖에 도 보임 새 들은 보 
안표식들을 정의 하거 나 가리킬수도 있다. 실례 로 Thule 에 로 공무려 행 을 보임새 에 의 해 
다음과 같이 창조함으로써 기밀성을 뚜렷하게 해줄수 있다. 

CREAT VIEW Flights . >_CONFIDENTIAL AS 
SELECT *FROM Diary 

WHERE Destination : ’ THU ’ AND Status : ’ business ’: 

보임새를 통한 읽기접근을 조종하는것은 보안방책을 정확히 포착하는것과는 다른 특 
수한 기 술적문제 는 제 기하지 않는다. 보임 새 들이 INSERT 또는 UPDATE 조작으로 자료 
기 지 에 정 보를 쓰기 하는 정 황은 여 러 가지 이 다. 첫째 로 보임 새 들에 는 대 응하는 기 본관계 
의 완전성을 관리하는데 필요한 정보가 없으므로 갱신할수 없는 보임새들이 있다. 실례 
로 고찰하는 기본관계의 1차열쇠를 포함하지 않는 보임새는 갱신에 리용될수 없다. 둘째 
로 보임 새 가 갱 신할수 있 다고 하여 도 관심 사로 되 는 보안문제 들이 몇 가지 있다. 
business_trip 를 통해서만 Diary 자료기지를 호출하는 려 행 봉사국은 그림 M -5 의 표에 기 
입되여 있는 지로를 본다. 려행봉사국은 다음의 조작으로 보임새를 갱신할수 있는가. 

UPDATE business_trips 
SET Status =’ private ’ 

WHERE Name =’ Alice ’ AND Day =’ Thu ’ 
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그림 14-5. 보임새의 실례 


이때 Alice 에 해당하는 입구는 보임새에서 떨어 져 나간다. 사실상 이 경우에 
새의 정의 에서 CHECK 선택 항목을 지정하였기때 문에 갱 신은 허 용되지 않을것 이 다. 
보임새의 정의에 WITH CHECK OPTION 이 들어 있다면 UPDATE 와 INSERT 는 
새 의 정의 를 만족시키 는 자료기지의 기 입항목들만 쓰기할수 있다. CHECK 선택항 
생 략되였다면 맹목적 인 쓰기가 가능하다. 

보임새는 SQL 보안모형에서 객체로 될뿐아니라 강령으로 볼수도 있다. 보임새 i 
출하는 사용자의 특권보다도 보임 새 의 소유자의 특권에 의하여 보임 새 가 평 가된 다지 





보임새 에서 접근조건을 SQL 의 한계 안에서 지정하여 야 하며 이것 이 너무 제 한적 이 다 
고 보아 지는 경우에는 보다 표현적 인 언어로 작성된 쏘프트웨어패키지 (기억되여 있는 
수속)들이 자료기지의 통제된 접근을 제공하는 DBMS 의 선택항목으로 된다. 

소유자의 특권으로 동작하는 이 파케지우에서 특권의 실행이 사용자들에게 또다시 
허용된다. 

A 통제된 호출은 콤퓨터 체계의 임의의 준위에서 찾아 볼수 있다. 통제된 호출 
ᅀ 은 자료기지 관리체계 에서와 마찬가지로 극소형 처리기에서도 쓸모 있는 원리 
로 되고 있다. 


지 금까지 는 보임새 가 쓸모 있는 보안기 구로 된다는 측면들만 제 시 하였 다. 자연히 보 
임새 들은 약점 들도 있다. 

• 접 근검 사로 하여 복잡해 지 게 되 며 속도가 떨 어 질수 있다. 

• 보임새의 정의 에서 《정 확성》이 검사되 여 야 한다. 보임새 들은 목적 하는 보안방책 을 
얻을수 있는가? 

• 완전성 과 일 관성 은 스스로 실 현되 지 않으므로 보임 새 들을 중첩 시 킬수 있으며 또는 
전체 자료기 지 를 획 득하지 못할수도 있다. 

• DBMS ( TCB ) 에서 보안에 관계되는 부분은 상당히 많아 진다. 

보임새들은《표준적 인 상업》환경에서는 적합하다. 보임새들은 응용에 맞게 작성될 
수 있으므로 DBMS 를 변경시킬 필요는 없다. 그러면 보임새들의 정의는 업무요구를 가 
장 적 합하게 만족시키도록 자료기 지의 구조를 정의하는 일 반적 인 처 리의 한부분으로 볼 
수 있 다. 

그러 나 접 근하려 는 개 별적자료항목을 결정하는것은 어 려 운 문제 로 된다. 그러 므로 사 
용자의 작용을 조종하기보다는 자료항목을 보호할 필요가 있다고 보아 지는 환경에서는 
보임 새 가 적 합치 못하다고 볼수 있 다. 제15장에 서 는 자료기 지보안을 자료항목의 보호에 
중점 을 두고 론의한다. 


제4절. 통계적자료기지보안 

통계자료기지들은 지금까지 이 책에서 거의나 취급하지 않은 보안문제들을 제기한다. 
통계자료기지는 정보가 표의 속성 (렬)에 대하여 통계적(접합체)질문에 의하여 검색된다 
는데 다른 자료기지와 그 특징 이 구별된다. 

SQL 에 서 집 합체함수들은 다음과 같다. 


COUNT ： 

렬에 있는 값들의 번호, 

SUM ： 

렬에 있는 값들의 합， 

AVG ： 

렬에 있는 값들의 평균， 

MAX ： 

렬에서 제일 큰 값， 

MIN ： 

렬에서 제일 작은 값. 
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통계 적 질문에서 질문술어 (query predicate) 는 대 표값을 계 산하는데 쓰이 게 될 무이 
들을 지정하며 질문모임은 질문술어와 일치하는 무이들을 의미한다. 

한마디로 말하여 통계자료기지에서는 다음과 같은 보안문제가 제기된다. 

• 자료기지에는 개별적으로 민감한 자료가 들어 있다. 따라서 자료항목의 직접적인 접 
근은 허용되지 않는다. 

• 자료기지에 대한 통계적질문이 허용된다. 이 질문들은 개별적인 자료항목을 읽는다. 

문제 를 이 와 같이 설정하면 정 보를 추론할수 있게 되며 접 근요구를 개 별적 으로 다 
투는것 이 더는 충분하지 못하다는것을 보여 주게 될것 이 다. 또한 정보흐름에 대하여 보 
다 실용적인 견해도 있다. 제4장에서 본 기밀모형은 모든것을 다하여 어떠한 정보흐름 
도 모두 멈춰 세우려고 하였다. 통계자료기지에서는 자료로부터 집합체에로 어떤 정보 
흐름이 반드시 있게 되며 우리는 그것을 접수할수 있는 준위에로 줄이려고 할뿐이다. 

그림 14-4 의 대 학생 자료기 지 는 이 절의 실례 들을 준다. Units 와 Grade Ave 렬의 
개별적기입항목들은 제외하고 모든 속성에 대한 통계적질문이 허용되지만 직접 읽을수 
없다. 다음의 통계적질문 

Ql：SELECT AVG(Grade Ave.) 

FROM Students 
WHERE Programme=’MBA’ 

는 전체 MBA 대학생들에 대한 평균성적을 계산한다. 이 실례에서 질문술어는 다음과 
같다. 


Programme: ’ MAB ’ 

1. 집합과 추론 

통계 적 자료기 지 보안에 서 는 집 합 (Aggregation) 과 추론 (Reference) 이 라는 두가지 
중요한 개념이 있다. 집합이란 자료기지에 있는 한묶음의 값들에 대하여 계산된 집합체 
의 민감준위가 개별적인 요소들의 민감준위와 차이날수 있다는 관측을 가리킨다. 집합체 
의 민감준위가 개별적인 요소들의 준위보다 낮은 경우는 대단히 많다. 이 반대인 경우는 
집합체가 덜 민감한 업무자료로부터 얻 어 진 민감실행정보인 때 일것 이 다. 

집합체는 자료기지에서 또 다른 관계 례하면 보임새로 되므로 이 장에서 제안된 보 
안기 구를 리 용하여 집 합체 에 로의 접 근을 조종할수 있 다. 그러 나 공격 자는 민감준위 에 서 
차이점을 리용하여 보다 민감한 항목에로의 접근을 엄을수 있다. 추론문제 란 비민감자료 
로부터 민감정보를 이끌어 내는것을 말한다. 다음형 태의 공격들을 고찰하여 야 한다. 

• 직접공격: 집합체값을 적은 표본에 대하여 계산하여 개별적자료항목의 정보가 루실 
되도록 한다. 

• 간접공격: 이 공격에서는 여러가지 집합체들에 관계되는 정보를 결합한다. 

• 추적 자공격 : 특별 히 효과적 인 형 태 의 간접 공격 . 
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• 선형체계 약점 : 추적자는 질문모임들사이 에 대수적관계를 리용하여 요구하는 정보가 
얻어 지는 방정식을 구성할수 있도록 추적자공격을 선택한다. 

2. 추적자공격 

이제 그림 14-4 에서 제시한 실례의 대 학생관계로부터 민감정보를 이끌어 내 기 위하 
여 통계적질문을 리용하는 방법을 설명 한다. Garol 이 녀성 CS 대 학생 이 라는 사실을 알고 
있다고 하자. 다음과 같은 합법적 인 질문을 결합한다. 

Ql： SELECT COUNT (*) 

FROM Students 

WHERE Sex=’F’ AND Programme:’CS’ 

Q2： SELECT AVG (Grade Ave) 

FROM Students 

WHERE Sex=’F’ AND Programme:’CS’ 

Ql 로부터 자료기지에는 오직 한명의 녀성 CS 대학생이 있으며 따라서 Q2 가 되돌리는 
값 70 은 정 확히 그의 평 균성적이 라는것 을 알수 있다. 여 기서 문제 로 되는것 은 바로 하나 
의 모임 에 오직 하나의 요소만 포함되 여 있 다고 선택 기 준을 규정한것 이 다. 따라서 통계 
적질문이 충분히 큰 부분모임을 포함할 때에만 허용해 줄수 있다. 

그러 나 선택 기 준을 부정하여 보모임 에 간단히 질 문하면 전체 자료기 지 에 적 용한 질 
문의 결과와 우리가 실제로 관심을 가지는 모임의 보모임에 적용한 질문의 결과의 차이 
로부터 앞에 서 와 갈은 결 과를 얻 을수 있 다. 따라서 질 문에 서 고려하는 무이 의 모임 들뿐 
아니 라 그의 보모임도 충분히 크게 해주어 야 한다. 

유감스럽게도 이렇게 해주어도 충분히 좋은 결과가 엄어 지지는 않는다. 매개 질문 
모임과 그의 보모임 이 적 어도 3 개의 요소를 포함하여 야 한다고 가정 하자. 질문순서렬 

Q3： SELECT COUNT (*) 

FROM Students 
WHERE Programme=’CS’ 

Q4： SELECT COUNT (*) 

FROM Students 

WHERE Programme=’CS’ AND Sex=’M’ 

Q5： SELECT AVG (Grade Ave) 

FROM Students 
WHERE Programme=’CS’ 

Q6： SELECT AVG (Grade Ave) 

FROM Students 

WHERE Programme= , CS , AND Sex= , M , 

은 Q3：4, Q4:3, Q5:61, Q6：58 을 되돌린다. 모든 질문들에서 충분히 큰 무이의 모임 
을 고려하였음으로 금지되지 않는다. 4 개의 결과를 조합하면 Carol 의 평균성적은 4 - 
61-3 • 58=70 으로 계산된다. 

이 경 우 질 문의 모임 을 이 와 같이 구성할수 있 었 다. 

이제부터 체계적인 방법으로 어떻게 공격을 설정하는가를 고찰하자.우선 추적자가 
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필요된 다. 


정의: 단일한 무이에 대한 정보를 추적해 낼수 있게 하는 질문술어 T 를 그 무이에 
대한 개별추적자라고 부론다. 일반추적자란 받아 들일수 없는 임의의 질문에 대한 대 
답을 찾는데 리용될수 있는 술어를 말한다. 


고가 일 반추적 자이고 묘는 조사하려 고 하는 무이 r 를 일의 적 으로 식 별하는 술어 라 
고 하자. 이 실례에서 술어는 Name =’ Carol ’ 으로 된다. 술어 R V T 와 R V NOT ( T ) 
를 리용하여 자료기지에 대한 두가지 질문을 만들어 내 자. 우리의 목표 r 는 두가지 질 
문에 서 리 용되 는 유일 한 무이 로 된 다, 두가지 질 문이 확고히 접 수되 게 하기 위하여 질 
문모임과 그의 보모임을 충분히 크게 선택하여 질문이 허용되도록 구를 선택한다. 전체 
자료기지 에 대하여 마지막까지 질문하면 공격을 완성하기 위한 모든 자료를 엄게 된다. 
이 례에서 


Sex =’ F ’ AND Programme : ’ CS ’ 

는 Carol 에 대 4 한 개별적추적자로 되며 Programme = ’ MIS ’는 일반추적자들중의 하나의 
공격자를 나타낸다. 

다음과 같이 질문을 계속한다. 

Q 7： SELECT SUM ( Units ) 

FROM Students 

WHERE Name =’ Carol ’ OR Programme :’ MIS ’ 

Q 8： SELECT SUM ( Units ) 

FROM Students 

WHERE Name =’ Carol ’ OR NOR ( Programme :’ MIS ’) 

Q 9： SELECT SUM ( Units ) 

FROM Students 

이때 Q 7：75, 句8:77, Q 9:136 을 받는다. 

따라서 Carol 에는 (75+77)-136=16 단위가 넘어 가게 된다. 경험은 거의 모든 통 
계자료기지들이 일반추적자를 가진다는것을 보여 준다. 

3. 대응책 

통계적추론공격 에 대 한 분석 방법은 자료기지보호에 대 한 초기 문헌에서 기본으로 
되여 있었다. 그이후에 연구자들은 다른 분야에로 주의를 돌리기 시작하였다. 그것은 
연구자들이 완성되고 완벽한 해결방도를 찾고 실현하였다고 해서가 아니라 추론공격에 
대처하는 대응책에 대한 한계를 인정하였기때문이다. 그 한계가 알려 져 있다면 추론 
문제에 대하여 현실적으로 무엇을 할수 있겠는가? 

먼저 명백하다고 보아 지는 민감정보를 억제해 줄수 있을것이다. 이것은 어느 정 
보가 민감정보로 되며 어느 민감정보를 억제해 주겠는가를 알고 있으며 따라서 이 정 
보를 엄어 내는 방법도 알고 있다는것을 암시하고 있다. 적어도 통계적질문의 결과를 
공개하기전에 질문모임의 크기를 검사한다. 
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다음으로 자료를 위장할수 있다. 설사 통계적질문이 정확한 결과를 준다고 하여도 
개별적질문이 틀린 결과를 주도록 자료기지의 기입항목을 우연적으로 교체할수 있을것 
이다. 또한 작은 우연섭동을 질문결과에 첨부해 주어 되돌린 값이 실제값에 가깝지만 
그리 정확하지 않게 해줄수도 있을것이다. 이 방법들의 결함은 정밀성과 리용성에 있다. 

자료기지방안의 설계 에 주의 를 돌리 면 일부 집 합문제 들은 쉽 게 해 결될수 있다 [90]. 
자료기지구조에 대하여 정적분석은 속성들사이의 민감한 관계를 알아 낼수 있다. 이러한 
속성들은 별도로 존재하는 표에 놓이게 된다. 한개의 표에만 접근하는 사용자는 결코 속 
성들을 상관시킬수 없다. 물론 관련되는 모든 표에 접근하는 사용자에게도 이렇게 할수 
있지만 특권을 배정할 때 자료기지관리 자는 보다 정 확하게 된다. 우리의 실례 에서 이름 
과 기 능사이 의 관계 는 민감하다고 볼수 있 다. 대 학생표를 두개 의 표로 가르고 대 학생 식 
별번호와 련결시킨다(그림 14-6). 

이제 첫번째 표를 충분히 높은 준위에서 분류하여 우선권이 부여된 사용자들만이 이 
틈과 대학의 기능을 련결시킬수 있다. 

끝으로 한가지 질문을 많이 하는것보다도 여 러가지 질문을 교묘하게 결합할 때 생기 
는 추론문제를 관찰해 보면 사용자가 무엇을 알고 있는가는 추적할수 있다. 이것 이 가장 
좋은 보안으로 될수도 있지만 가장 비용이 많이 드는 방법이기도 하다. 사용자행동을 검 
열 일지에 기 록하였다가 의 심스러 운 질문렬 이 검 출되 였는가를 보기 위해 질문분석수행 에 
들어 간다. 물론 처음에 무엇이 의심스러운 행동으로 되는가를 알고 있어야 한다. 보호 
를 더욱 공고히 하기 위하여 질문분석 에서는 두명의 사용자 또는 사용자들의 집 단이 무 
엇 을 알고 있는가를 고려하여 야 할것 이 다. 


이름 

ID 


ID 

성별 

요강 

단위 

평균성적 

Alma 

B13 


B13 

F 

MBA 

8 

63 

Bill 

C25 


C25 

M 

CS 

15 

58 

Carol 

C23 


C23 

F 

cs 

16 

70 

Don 

M38 


M38 

M 

MIS 

22 

75 

Errol 

C12 


C12 

M 

CS 

8 

66 

Flora 

M22 


M22 

F 

MIS 

16 

81 

Gala 

B36 


B36 

F 

MBA 

23 

68 

Homer 

CIO 


CIO 

M 

CS 

7 

50 

Igor 

M20 


M20 

M 

MIS 

21 

70 


그림 14-6 . 대 학생자료를 위 한 몇 개의 표들 
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제 5 절. 조작체계와의 ■합 

조작체계의 위치에서 자료기지를 보면 일련의 조작체계처리들과 자료기입항목를 보 
관하는 기억자원들을 보게 될것이 다. DBMS 는 여 러 측면에서 조작체계와 사명 이 류사하 
다고 볼수 있 다. 즉 사용자들이 서 로 간섭하지 못하게 하여 야 하며 DBMS 와도 간섭하지 
못하게 하여 야 한다. 

이 과제들을 조작체계처리에 주면 다시 품을 들이지 않아도 될것이다. 

이 렇게 설정하면 DBMS 는 조작체 계처 리들의 모임 으로서 동작한다. 

일반적 인 자료기지관리를 위한 체계처 리들이 있으며 매 개 자료기지사용자는 개 별적 
인 조작체계처리에 대응된다(그림 14-7). 이제 조작체계는 사용자들을 구별할수 있으므 
로 매개 자료기지객체를 그자신의 파일에 기억시킨다면 조작체계는 모든 접근조종을 할 
수 있 다. DBMS 는 사용자질문을 조작체 계 가 리 해하는 조작으로 변환하기 만 하면 된다. 

개 별적 인 조작체 계처 리를 매 개 자료기지 사용자에게 배정하면 기 억 자원이 랑비되 고 
사용자수를 대폭 증가시킬수 없으므로 여러 사용자들의 자료기지요구를 조종하는 처리들 
이 필요하다(그림 14-8). 

이때 기억기는 절약되지만 접근조종의 책임은 DBMS 에 넘어 간다. 

마찬가지 로 자료기지객체들의 기 억기 에도 이와 갈은 고찰방법 을 적 용할수 있다. 객 
체들이 너무 적다면 매 객체가 개별적으로 파일을 가지게 하는것은 랑비로 된다. 조작체 
계 가 자료기지 사용자들에 대 하여 접 근조종기능이 없는 조건에서 는 하나의 조작체계파일 
에 마음대로 여러개의 자료기지객체를 묶어 놓을수 있다. 



그림 14-7. 조작체계에 의한 자료기지사용자들의 분리 
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장의 문헌안내 


II 형자료기지모형을 연구할 필요가 있는 경우에는 문헌 [3 기를 참고하시오. 자료기 
I 대한 실제적인 자료들은 K 5] 에서 편집되였다. 초기부터 지금까지 쓸모 있다고 
는 도서 는 [39] 이며 이 것은 특히 통계 자료기지 의 좋은 참고서 로 된다. 자료기지 
대 한 쓸모 있는 원서 는 [9 的 이다. 

는 주요자료기 지판매 자들은 자기 의 제 품에 대 한 정 보와 자료기 지 보안의 좋은 기 초 
Web 폐지를 유지하고 있다. C 2 준위에서 평가된 제품들을 가지는 자료기지판매 
Web 페지는 다음과 같다. 


p : // www . informix . com 
p : // www . oracle . com 


: / / www. Sybase. com 







련습문제 


1. 기록(주문자이름，구좌번호，잔고, 예금)과 사용자(주문자，직원，관리인)로 되여 있 
는 은행자료기지체계를 생각하자. 접근구조를 실례로 즉 보임새를 통하여 다음과 같 
이 되게 정의하시오. 

• 주문자들은 자기의 구좌를 읽을수 있다. 

• 직원들은 예금을 제외한 모든 마당을 읽고 모든 구좌에 대한 잔고를 갱신할수 
있 다. 

• 관리 인들은 새 로운 기록을 창조하고 모든 마당을 읽 고 모든 구좌에 대 하여 예금 
을 갱신할수 있다. 

2. 학생의 이름들과 교육강령 에서 제시된 모든 과정안들의 표식 이 들어 있는 대 학생기록 
으로 된 자료기지 를 고찰하시 오. 강의 자는 강의안들이 아직 종이 에 표식되지 않은 
과정안에 서 모든 대 학생들을 보여 주는 보임 새 를 공급 받는다. 이 보임 새 는 WITH 
CHECK OPTION 을 정 의 하여 야 하는가? CHECK OPTION 을 사용하겠는가를 결정 
하는 일반평가기준을 말해 보시오. 

3. 대 학생 관계 (그림 14-4) 에 대 한 모든 통계 적 질문에 는 질문모임 에 적 어도 3개의 무이가 
있어 야 한다. 속성 Grade Ave 에 대 한 AVG 질문들만 허 용된다. 새 로운 일반추적자 
를 찾고 Homeer 의 평균성적에 대한 추적자공격을 구성하시오. 

4. 자료기 지 보안에서 응용층에 있는 보안조종에 대 한 실례 들을 이 미 고찰하였 다.이 방법 
에서 제기되는 문제들은 어떤것들인가? 

5. 대표값들이 자료항목에 비하여 민감도준위가 높은 자료기지를 생각하자. 자료항목에 
접근하는 특권을 가진 사용자는 자료항목에 개별적으로 접근하는 방법으로 잠재적으 
로 집합체값을 계산할수 있다. 

이러한 공격을 어떻게 방어할수 있겠는가? 

6. 표의 매행 에서 따로따로 접근권한을 정의할수 있는 자료기지 가 주어 져 있다. 접근조 
종은 조작체계의 보안기구들을 리용하게 될것 이 다. 

설계 를 이와 같이 결정하면 자료기지 대 상들이 조작체 계파일들에 기 억되 는 방법 에 비 
하여 어 떻게 되겠는가?(비 교의 기 준으로서 매개 파일의 행정자료가 100바이트인 조 
작체계와 1000만개의 기록으로 된 자료기지를 생각해 보시오.) 이것이 생활력 있는 
설계결심으로 되겠는가? 
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제 15 장. 여러준위안전자료기지 


이 장에서는 조종의 초점을 자료기지의 기입항목에로 완전히 옳긴다. 

여 러 준위보안방책 들은 자료에 대 한 접 근을 조종한다. 조작체 계 들에 있는 MLS 와는 
달리 기밀성문제와 안전성문제를 동시에 풀어야 한다. 

잠복통로들은 피하여야 하지만 자료기지의 완정성속성들은 보존해 주어야 한다. 

잠복통로들을 중지 하기 위하여 보다 높은 준위 에 있는 자료의 존재 를 감추려 고 한다 
면 관계형자료기지의 본질적인 완정성속성들을 보존하기 위해 다중구체례제시 
( polyinstantiation ) 에 의거 하여야 한다. 

보다 높은 준위 에 있는 자료의 존재를 숨길 필요가 없다면 완정성을 보존하는것은 
보다 쉽지만 잠복통로를 창조하지 않고 이러한 자료항목들을 자료기지에 삽입하는 방법 
을 찾아 내 야 한다. 


목적 

• 자료기지체계의 배경에서 여러준위보안을 적용한다. 

• 기 밀성 과 완정 성 의 요구사항사이 의 잠재 적 인 모순을 분석 한다. 

• 이 모순을 해결하는 두가지 상반되는 방법들을 비 교한다. 

• 여 러준위자료기지보안을 실현하는 두가지 상반되는 방법들을 비교한다. 


제1절. 리론적기초 

자료기지의 요소들이 너무 민감하여 가능한 가장 강한 보안대책만을 취하게 되는 세 
계를 상상해 보자. 사색 이라는 하나의 수업을 거 치면 위 임접근조종이 다중준위안전자료 
기지에서 이 문제에 대한 해답으로 된다는것을 알수 있다. 

위입접근조종을 관계형자료기지 에 적 응시키는데 상당한 지적 인 노력 이 소비되 였다. 

크근^…노짜어표以^ 선쇼切 민묘헤간이개 발계 획은 다중준위 안전관계형 자료기지 관리 
체 계 ( MLS - RDBMS ) 를 위 한 원형 을 배포하였 다. 

엄격 히 보면 조작체 계보안에서 쓰이 는 개 념 를은 틀린 추상준위 에서도 리용되 지 만 
기밀성규칙들이 완정성을 위반하지 못하게 하는 실례들을 지적하고 있다. 

이 장과 제16장에서 이 문제에 대한 실례들과 보안과 일관성사이의 실용적 인 이률배 
반관계 (trade off ) 의 실례 들을 고찰하겠다. 

대 부분의 자료기 지판매 자들은 모두 다중준위자료기 지보안을 지 원하는 오렌지부크의 
B 1 급에서 평 가된 자기의 DBMS 갱 신판들을 가지고 있다. 자료기지판매 자들은 지금도 일 
부 주문자들이 DBMS 의 MAC 특징을 리용하고 있으므로 이것을 리용할 결심을 내리기전 
에 모든 련관관계들을 품을 들여 고찰할것을 주문자들에게 경고하고 있다. 
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제 2 절. 관계형자료기지에서의 MAC 

제4장 2절의 벨-라파둘라모형의 위 임접근조종방책을 다시 상기하자. 간단히 고찰하 
기 위하여 주동체의 기정기밀취급허 가와 현재의 기밀취급허 가를 구별하지 않겠다. BLP 
모형에서 실체들은 다음과 같다. 

• 주동체 모임도 즉 자료기지체계의 사용자들. 

• 객체 모임 . 즉 자료기지，기 본관계 들, 파생관계，무이，마당. 

• 보안표식 들의 부분순서 화 ( L , 승)，습관상 접 근콜라스타고 부론다. 

함수 兵: S ᅳ L 은 접 근콜라스를 매 개 주동체 에 할당하며 함수 f 0 '0— L 은 접근콜라스 
를 매개 객체에 할당한다. 

두가지 강제접근조종방책들은 정보가 접근콜라스의 살창에 대 하여 웃방향으로만 흐 
튼다는것을 나타내고 있다. 


규칙 : ss - 속성 (웃방향읽 기 없음) : 주동체 s 는 s 의 접 근클라스가 객 체 o 의 접 근클라 
스보다 웃준위에 있을 때 즉/。 ( o ) ^ 大⑴일 때에만 객체 o 를 관측할수 있다. _ 


규칙 : *- 속성 (아래방향쓰기 없음) : 객 체 o 의 접 근클라스가 주동체 s 의 접 근클라스 
보다 웃준위에 있을때 즉 太(5)의; ( o ) 일 때에만 주동체는 객체를 변경할수 있다. 


이 방책들은 DBMS 의 자료조작연산에 적용하면 직접적인 정보흐름문제를 취급할수 
있다. 정보는 또한 잠복통로로도 흐를수 있다. 사용자가 사전에 그 요구가 비법적이며 
반드시 실패 한다는것을 모르고 있었다고 해도 그 접근요구를 거부하는것은 잠복통로를 
형 성 한다. 

1. 객체표시달기 

SeaView 에 따르면 가장 섬세 한 준위 에서 다중준위자료기 지 보안을 서 술할수 있 다. 
자료기지의 매 항목은 자기의 표식을 밤으며 이것은 자료요소，무이，관계 또는 자료기 
지일수 있다. 

이것은 어느 한 무이가 각이한 보안표식들을 가진 요소들을 포함하고 있는 상당히 
유연성이 있는 방책으로 된다. 요가 n 개의 속성을 가지는 다중준위관계라고 하자. 이때 
R 의 무이는 ( vi , ci , v 2 , c 2 , ■■■, v n , c n , 4 ) 의 형태로 된다. 여기서 어는 i 번째 마당의 
표식이 며 化는 무이 의 표식 이 다. 사용자들은 보안표식 을 볼수 없다. 

보안표식들은 DBMS 의 내부에 있는 정보로서 접근요구가 정 당한가를 감시하는 참조 
감시기 에서 리 용된다.즉 

• 자료기 지 표식 : 사용자가 자료기 지안에 있는 관계 들을 지 정할수 있는가를 결정하는데 
쓰인다. 

• 관계표식 : 사용자가 자료기지안의 무이들을 지정할수 있는가를 결정하는데 쓰인다. 

• 무이표식: 사용자가 무이안에 있는 모든 요소에 접근할수 있는가를 결정하는데 쓰 
인다. 
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• 요소표식: 사용자가 요소에 접근할수 있는가를 결정하는데 쓰인다. 

앞장에서 보안방책이 다음과 같이 되여야 한다고 하였다. 

• 완전성:자료기지의 모든 마당들이 보호된다. 

• 일관성 : 자료항목의 접근을 지배하는 규칙들은 모순이 없다. 

자료항목들이 자기의 보안표식을 받았다면 보안표식의 할당은 끝난다. 따라서 완전 
성을 검사하는 방법은 단순하다. 

2. 일관주소화 

자료기지에서 여러가지 항목에 보안표식들을 할당하는 방법에 마땅히 주의를 돌려야 
한다. 그렇지 않으면 표식 이 쉽게 모순되는것으로 될수 있다. 일관성규칙들의 첫번째 모 
임에 대한 리유를 보기 위해 어떤 자료항목을 지정하기 위해 다음과 같은것들을 명기하 
여 야 한다. 

• 자료기 지 D 

• 자료기지 D 안에 있는 관계 /? 

• 관계 요안에 있는 무이 r 의 1차열쇠 

• 무이 r 안에 있는 요소 자를 식별하는 속성 i 

요소 r , 를 얻자면 다음의 관계가 성립되여야 한다. 

fo(D}- 寒 多 

그렇 지 않으면 보기 위해서 이 름을 달아 준 요소에 대 한 접 근에 빗 장이 걸릴수 있다. 
우리의 경우에 무이 r 에 접근하는 사용자는 자기의 모든 요소들에 접근한다. 이로부터 
모든 속성 i 에 대 하여 

/ 0 

을 요구한다. 

요소의 표식 달기 는 관계 형 자료기 지 모형 (제 14장 2절 2) 의 고유한 완정 성 규칙 들을 
일 부러 다른 말로 바꾸어 표현하게 한다. 1차열 쇠 를 지 정하면 다음과 갈은 규칙 을 얻 
게 된다. 


규칙: 여러준위실체완정성: 기본관계에서 1차열쇠의 요소는 빈 원소로 될수 없다. 
기본관계의 1차열쇠의 모든 요소들을 같은 접근콜라스를 가진다. 

기본관계에서 무이에 있는 다른 모든 자료값들의 접근콜라스는 그 무이의 1차열쇠의 
접 근콜라스를 지 배한다. 


외부열쇠는 다른 표에로의 련결이다.사용자가 이러한 련결을 보려고 한다면 그것을 
따르도록 허 가를 받아야 한다. 


규칙 : 여 러 준위참조완정 성 : 외 부열 쇠 에 의하여 참조되 는 무이 는 반드시 존재하여 야 
한다. 외 부열쇠 의 접 근콜라스는 해 당한 1차열쇠 의 접 근콜라스를 지 배한다. 
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3. 볼수 있는 자료 


규칙의 다음모임은 여 러가지 보안표식을 가지는 사용자들이 자료기지를 보게 하는 
방법을 설명 한다. 

• 관계 요에 있는 무이들을 지정할수 있는 사용자 s 에 대하여 가 되여야 

한다. 

• 자료원소 n 가 s 에 보이 자면 太 (s)2/ c (r,) 가 성 립 하여 야 한다. ᄌ (S) 혹/;(사 이 고 다가 1 
차열쇠 r 의 부분이 라면 총체 적 인 무이는 볼수 없 다. 어 떤 다른 자료항목에 대 하여 
/,( s ) .九(사이면 이 속성은 볼수 없으며 빈 원소값이 현시된다. 

• 기 본관계 요의 무이，가 사용자 s 에 게 보여 진 다면 fjJ 公숀않》트 되 는 사용자 S’ 
는 r 의 값이 령 아닌 모든 속성 에 서 r 와 일 치하는 무이 r 를 볼수 있을것 이 다. 

그림 15-11 의 실례에서 이 규칙들을 설명하자. 호출클라스는 비밀에 속하지 않는 
([/) 와 비밀에 관계되는 (幻클라스가 있다. 자료요소의 보안표식들은 참조만 할수 있다. 
앞에 서 도 이 야기하였지 만 보안표식 을 사용자들한데 보여 줄수 없 다. 접 근표식 C 를 가지 
는 주동체는 총체적 인 표를 볼수 있지만(보안표식들이 아니라고 하여도) 접근클라스 U 
를 가지 는 주동체 는 그림 15-2 의 목록에서처 럼 비밀 이 아닌 자료만을 볼수 있다. 

4. 파생관계들 

이제는 보임새, 순시상 또는 질문결과와 같은 파생관계들을 표식하기 위한 규칙에로 
화제를 돌리 자. 

파생관계는 그의 정의를 평가함으로써 계산된다. 정보는 웃방향으로만 흐를수 있으 
므로 파생관계를 평가하는데 쓰이는 모든 자료의 접근클라스들은 결과의 접근클라스에 
의하여 지배된다. 

보임새에서 이 규칙은 다음과 같다. 


규칙: 보임새의 접근클라스는 보임새의 정의에서 리용되는 모든 관계의 접근콜라스를 
지배 한다. 


비행기 [FL_Class] 

목적 지 [DE_Class] 

좌석 [Se_Class] | 

[Tuple 一 Class] 

CA909 

[C] 

H.K. 

[C] 

7 

[C] 

^ 幻 ' 

AX301 

[U] 

K.L. 

[U] 

2 

r |uj. 


GR555 

[U] 

L.A. 

[C] 

11 

,}C] 

[( 讀 .:. 


그림 15-1. 1차열쇠 Flight (비행)를 가지는 관계 Bookings (예약) 
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비행기 

목적지 

좌석 

AX301 

K.L. 

2 

GR555 

_ 

_ 


그림 15-2. 일반사용자에 접근할수 있는 그림 15-1 로부터 비 
밀에 속하지 않은 자료의 목록 

이 모형 이 통계적자료기지보안과 상반되 는 모형 이라는데 주의 를 돌리 자. 여 기서 집 
합체질 문결 과들은 개 별 자료항목에 비 하여 민감하지 못할수 있 다. 

사용자 S. 가 파생관계를 평 가할 때 파생관계 에 는 사용자접근클라스의 지배를 받는 접 
근클라스가 주어 지게 된다. 그렇지 않으면 사용자는 평 가의 결과를 볼수 없게 될것 이 다. 

사용자가 볼수 있는 파생 관계 를 구성하는 두가지 방법 이 있 다. DBMS 는 먼저 사용 
자의 접 근클라스에 독립인 파생 관계 를 평 가하고 그다음 파생 관계 에 보안검 사를 적 용할수 
있 다. 또한 달리 DBMS 는 이 미 사용자의 접 근콜라스를 고찰한 다음 파생관계 를 평 가할 
수도 있다. 이때 결과에는 사용자가 볼수 있는 자료만이 있다. 어떤 순서를 택하든지 관 
계없이 그림 15-3 에서 보여 준바와 같이 엄 어 지는 결과는 같아야 한다. 보임새 에 대 한 
이러한 교환요구를 형식화하면 다음의 규칙을 얻게 된다. 



평가한다 (c) 관측한다 (c) 


기 본관계 | 평 가한다 (*) J 보임 새 (*) 


그림 15-3. 파생관계와 일치하는 평가 


5. 우 I 임접근조종 

관계 형 자료기지 에서 자료보안방책 들은 보임새 와 보임새 우에서 접 근권한으로 완전히 
정 의할수 있 다. 보안방책 들은 보임 새 에 대 한 특권만을 허 락하고 요소적인 SQL 자료조작 
연산을 허락하지 않으므로 콜라스-월슨보안모형과 로선이 완전히 같게 된다. 어떻게 하 
면 DAC 방책을 위 임접근조종에 맞게 작성할수 있는가? 
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만일 보임 새 가 《 아래》사용자들에 게 리용될 수 있게 하려 고 한다면 제15장 2절 4 
의 규칙들은 보임새에 의하여 고려되는 모든 자료항목들이 아래로 되여야 한다고 요구 
한다. 

MAC 에 따르면 이 자료항목들은 DAC 의 방책의 의도를 명백히 고의적으로 위반하 
면서 《 아래》사용자에 게 도 리 용될 수 있 을것 이 다. 이 문제 를 풀기 위 하여 참조접 근방식 
을 받아 들여 관계의 간접접근을 획득할수 있다. 이때 사용자에게는 보임새를 위한 특권 
과 구체 적 인 모든 (기 본)관계 우에 서 참조방식 을 위한 접 근권한이 필요하다. 

6. 기밀해제된 자료 

위임접근조종은 아래방향에로의 쓰기를 금지한다. 이것은 정보의 민감도가 시간에 
따라 떨어 지기때문에 관례적인 관찰에 맞지 않는 매우 제한적인 방책으로 된다. 실례로 
회사의 결과들은 공개되기전에는 기밀성이 보장되여야 한다. 

여러 나라들에서는 수십년이 지난 다음에야 정부가 기밀에 붙였던 파일들을 공개한 
다. 자료기지보안에서 정밀성을 요구하고 있으며 필요없이 제한하였던 기밀자료는 계속 
보관하여서는 안된다. 

따라서 아래에로의 통제된 쓰기를 진행하는 연산이 필요하다. 이 조작을 기밀해제라 
고 부론다. 자료의 기밀해제는 읽기클라스가 쓰기콜라스를 엄밀히 지배하는 신용 받는 
주동체에 의하여 실행될수 있다. 

또한 파생관계를 평가함으로써 자료의 기밀해제를 실현할수도 있는데 이 경우 파생 
관계는 유도에 포함된 자료에 비하여 낮은 준위 에서 분류된다. 지 나친 분류를 피하기 위 
하여 DBMS 는 보안방책 이 허 용되 기만 하면 일정한 기 간마다 시 간에 관계 되 는 기밀해제 
규칙을 적용하며 자료준위를 낮출수도 있다. 


제3절. 다중구체례제시 


여 러 준위 보안 관계 형 자료기지 모형 에서 《 아래》사용자는《높은》자료항목의 존재 
를 모르기때문에 아래사용자는 높은 값을 포함하고 있는 마당을 우연히 갱신하려고 시도 
할수 있 다. 우리 의 경 우에 비 밀 문건을 다루지 않는 사용자가 례 하면 《 Dest = N . Y . 》와 
《 Seats =0》 과 같은 비밀이 아닌 값을 들여 보내여 비행기 GR 555 의 결여된 마당을 갱 
신하려고 할수도 있다. 

이때 DBMS 는 어떻게 반응하겠는가? 다음의 3가지 선택권이 있다. 

• 갱신을 실행하는것을 거절한다: 그러나 이것은 이 위치에 《높은》자료의 값이 들 
어 있다는 정보를 나타낸다. 

• 낡은 값을 겹 쳐 쓰기한다 : 《 높은》자료의 값이 존재 한다는 정 보를 주지 않지 만 이 
것 을 파피 한다. 

• 갱 신을 실행 하고 낡은 값을 보관한다: 이것을 다중구체례제 시 라고 부론다. 첫번째 
선택은 보안의 리유로 그다지 사람들의 주의를 끌지 못한다. 

위임접근조종을 리용하는 모든 수고를 아끼지 않는다면 이와 갈은 눈에 띄우는 잠복 
통로를 받아 들여서는 안된다. 
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두번째 선택은 아래사용자들이 무의식적으로 높은 준위 자료를 파괴할수 있는 불우 
한 처지에 《높은》사용자들이 있게 한다. 첫번째와 두번째 선택권들은 서로 배제적인 
관계에 있으므로 다중구체례제시가 남는다. 우리의 경우에 예약 ( Bookings ) 관계는 그림 
15-4 에서 보여 준 표와 같이 갱신된다. 비밀에 속하는 준위에서 지워 진 사용자는 그림 
15-5 에서 보여 준 자료를 볼수 있다. 

《다중구체례제시》라는 뜻은 동일한 1차열쇠에 여러개의 무이가 있을수 있다는것을 
나타내고 있다. 다중구체례제시는 그림 15-5 에서 명백히 알수 있다. 여기에는 1차열쇠 
GR 555 에 대 하여 두개의 기 입항목이 있는데 이것은 1차열쇠의 정의 에 명백 히 위 반되는것 
으로 된다. 보안을 강하게 하려 던 나머 지 얼핏 보기 에 도 알수 있는것 처 럼 관계 형자료기 
지 모형 의 기 초까지 도 파괴하였 다. 


Flight ； [Fl_Class] 

Dest [De_Class] 

Seats [Se_Class] 

[Tuple 一 Class] 

CA909 [C] 

H.K. [C] 

7 CQ] 

.'社여 

AX301 [U] 

K.L. [U] 

2 [U] 


GR555 

L.A. : 

11 [C] 

- .1 하 

GR555 j 好 

N.Y. [U] 

o mi 


GR555 M 

N.Y. [U] 

11 [c] 

、 ic ] 

GR555 £明 

N.Y. [U] 

0 [u] 

[明 


그림 15-4. 그림 15-1 에서 주어 진 표자료의 갱신판 

보안의 요구를 관계형자료기지의 기본정의에 대한 요구와 일치시키기 위하여서는 무 
이에 있는 모든 마당의 접근클라스가 1차열쇠의 부분마당으로 된다고 선언해 주면 된다. 
1차열쇠를 이렇게 확장하면 다시 무이의 유일한 식별이 보장된다. 

관계의 무이를 주소화하기 위해서는 원래의 1차원열쇠외에 접근클라스의 벡토르를 
지 정하여 야 한다. 비 록 표의 표준형 이 2차원구조이 지 만 다중준위 표를 자리 표계 가 다음과 
갈은 3차원구조로 볼수 있다. 


Flight 

Dest 

Seats 

CA909 

H.K. 

7 

AX301 

K.L. 

2 

GR555 

L.A. 

11 

GR555 

N.Y. 

0 


그림 15-5. Confidential 사용자에 대 한 자료호출 

• (원본)1차열쇠 

• 속성 

• 접근클라스 

문헌 [40] 에서 지적된 다음의 규칙은 다중구체례제시관계 로부터 자료의 검색을 합리 
적으로 할수 있게 한다. 
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다중구체례제시완정성: 기본관계에 있는 두 무이가 동일한 1차열쇠를 가지며 어떤 속 
성에 대한 각각의 기 입항목이 동일한 접근콜라 스를 가진다면 이 속성의 자료값들도 
같다. 만일 기본관계의 두 무이가 동일한 1차열쇠를 가지며 각각의 기입항목이 서로 
다른 접근콜라 스를 가지는 어떤 속성들이 있다면 그 속성들에 대 한 값들은 서로 다를 
수 있으며 이 값(호출클라스와)들의 임의의 조합은 다시 관계의 어떤 무이로 된다. 


이 규칙의 첫 부분은 확장된 열쇠공간에서 어느 정도 준수된다. 

다중준위관계를 나타내고 있는 3차원구조의 매점에는 많아서 하나의 값이 있을수 있 
다. 이 규칙의 둘째 부분은 다중구체 례관계 로부터 자료를 검색 하기 위 해서는 하나의 기 
초조작만이 필요하다는것을 확인하고 있다. 사용자가 확장된 1차열쇠에 대하여 Dest 와 
Seats 의 값 Flight = GR 555， Fl _ Class = U , De _ Class = U , Fl _ Class = C 을 요구한다고 가정하자. 

대 응하는 값 《 Dest = N.Yl 와 《 Seats = ll 》 이 우연< 있지 만 1차열쇠 GR 555 를 가지 
는 두개의 각이한 무이에서 존재한다. DBMS 는 주어 진 1차열쇠가 이러한 요구를 처리 
하도록 하는 전체 무이를 검사하여 야 한다. 

다중구체례제시완정성규칙은 확장된 1차열쇠로 주소화될수 있는 값들의 전체 조합이 
실제적으로 관계에 보관된다는것을 진술하고 있다. 우리의 실례에서 완전한 다중구체례 
제시관계는 그림 15-6 과 같아 지게 된다. 질문결과는 이 표의 마지막 두번째 행에서 알 
수 있다. 의 심할바없 이 다중구체례제 시완정성규칙은 갱 신을 오히 려 시끄럽 게 만들며 다 
중구체례시화된 관계의 크기 가 불어 나게 한다. 


Flight [Fl_Class] 

Dest [De_Class] 

Seats [Se_Class] 

[Tuple 一 Class] 

CA909 [C 『 :; 

H.K. [C] 

7 

-- 一 t6|rr 

aa 

AX301 [U] 

K.L. [U] 

2 

_f 和 , 

[U] 

GR555 [L|' 

L.A. [C] 

11 

cc| ； 

tel 

GR555 [U] 

L.Y. 改任， 

0 


[c] 

GR555 [U] 

N.Y. [U] 

11 

[幻 

[c] 

GR555 [U|: 1 

N.Y. [U] 

0 

. 後貧』 



그림 15-6. 열쇠 GR 555 의 모든 조합을 보여 주는 갱신된 자료표 


제4절. 아래삽입 

강제접 근조종을 관계 형자료기 지모형 에 첨 가할 때 보안표식 들을 DBMS 의 내 부정 보 
로 취 급하기 로 결정하였다. 이 렇게 하면 DBMS 는 인증되지 않는 사용자들이 민감정 보를 
사용하지 못하게 할뿐아니라 지어는 민감자료의 존재를 은페시킨다. 한편으로는 이것이 
더 많은 보안을 제공하지만 다른 한편으로는 잠복통로가 열리게 된다. 이 잠복통로를 닫 
기 위 해서는 다중구체례제 시 에 의거하여 다중구체례제시를 관계형자료기지모형파 통합하 
는 어 떤 방법 을 찾지 않으면 안되 였 다. 관계 형자료기 지 의 기 초적 인 완정 성 속성 과의 치 명 
적 인 충돌을 협소하게 나마 피할수 있었지만 이것은 시 작에 불과하다. 
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제 14 장 2절 2에서 론의한 응용에 특정인 완정성제한조건을 주면 어떻게 되겠는가? 
MAC 모형 에 일치시키 자면 모든 완정성제 한은 접근클라스에 의하여 표식되 여 야 한다. 
다음의 일관성규칙을 적용한다. 


규칙 : 완정 성 제 한의 접 근클라스는 제 한이 적 용되 는 관계 들의 접 근콜라스를 지 배하여 
야 한다. 


다중구체 례 제 시 가 도입 된 리유가 바로 민감자료항목의 존재 를 로출시 키 지 않으려 는 
목적 에서 였다는것을 상기 해 보자.완정성제 한은 그것 이 참조하는 자료항목보다 높은 준위 
에서 표식되는 경우에도 류사한 문제가 제기된다. 만일 낮은 준위의 주동체가 높은 준위 
의 제한을 받는 낮은 준위의 자료항목을 갱신하려고 한다면 DBMS 는 주동체에 변경을 
허 락하여 잠재 적 으로 완정 성 제 한을 위 반하거 나 일 관성 을 보존하기 위하여 높은 준위 의 
제한이 있다는것을 로출시키게 된다. 이때 이러한 함정에서 벗어 나게 하는 공학적인 방 
법은 없다. 

자료기 지 는 외 적사실들을 반영한다. 다중구체례제시된 자료기 지 는 외 적사실들에 대 
하여 모호성 을 만든다. 동일한 외 적 실체 에 대 하여 여 러 가지 기 입항목들이 존재한다. 

세계 에 대 한 각이하면서도 모순되는 견해를 주고 있는 자료기지를 어떻게 리용하겠 
는가? 표제기사가 있는 낮은 자료항목을 동일한 위치에 두면 불의에 나타나는 장애로부 
터 높은 준위 자료항목을 보호하기 위한 합법적 인 위 치가 얼마나 자주 존재하게 되겠는 
가? 더우기 표제기사가 높은 준위 자료항목들의 해당되는 측면들과 일치되지 않는 경우 
에만 일관성이 위반될 여지가 여전히 남아 있게 된다. 

이 모든 문제 들은 민감자료를 숨기 도록 결 정하였 기 때 문에 생겨 난다. 자료항목들이 
나 제 한조건들의 존재 를 숨기 지 않고 다중준위자료기 지보안을 실 현 하여 그의 내 용만을 
보호해 줄수 있다. 이러한 정황에서는 존재를 로출시킨다고 하여 위법적인 정보의 흐름 
은 이 루어 지 지 않는다. 그것 은 이 정 보를 모든 주동체 에 다 제 공한다고 이 미 결 정하였 
기때 문이 다. 매 개 자료항목과 관계 (비록 무이 는 아니 라고 해도)에 보안표식 을 다시 첨부 
하고 이 표식들을 그 관계를 보도록 확인된 모든 사용자에게 보이게 하겠다. 이 모형에 
서 일반사용자는 그림 15-1 의 관계를 그림 15-7 에서 주어 진것처 럼 보게 된다. 

다중구체례제시를 받아 들이지 않으면 안되게 하였던 요구에로 되돌아 가자. 일반사 
용자는 비밀이 아닌 값 《 Dest = N . Y 》 와 《 Seats =0》 을 넣음으로써 비행기 GR 555 에 대 
한 빈 마당을 갱 신하려고 시도한다. 이때 이 사용자는 기밀자료에 간섭하지 못하도록 작 
업을 끝낼것 이 강요될수 있으며 관계는 변화되지 않고 이 관계의 1차열쇠를 변화시 킬 필 
요도 없다. 


비 행 기 [Fl_Class] 

목적 지 [De_Class] 

좌석 [Se_Class] 

- C 

AX301 U 

GR555 U 

- C 

K.L. U 

- C 

- C 

2 U 

- C 


그림 15-7. 비밀과 관련된 사용자에 접근할수 있는 자료의 갱신된 보임새 

공개된 질문이 아직 하나 남아 있다. 비법정보흐름을 만들어 내지 않고도 자료가 어 
떻게 관계에 들어 가겠는가? 이 문제에 대한 답변을 하자면 우리의 실례에서 비정상을 
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수정하여야 한다. 일반사용자들은 1차열쇠를 모르고도 비밀에 속하는 무이가 있다는것을 
안다. 참조완정성속성에 대한 우연적 인 위반은 여전히 가능하다. 

자료를 자료기 지 에 삽입 하기 위 하여 서 는 SWORD DBMS [161] 가 제 기 한 아래 삽입 전 
략에 따라야 한다. 접 근클라스〈〈체 계낮음》을 가지 고 자료기지 에서 새 로운 항목을 창조 
할 과제를 가지고 있는 주동체《창조자》 ( creator ) 가 존재한다. 그외에는 어떤것도 그렇 
게 부를수 없다. 높은 준위자료항목을 창조하기 위하여 먼저 이 자료항목을 창조하고 거 
기 에 어떤 위 치표식정보를 기 억시 킨다. 따라서 이 자료항목이 있다는것을 누구나 다 알 
수 있다. 높은 준위의 주동체들은 아직 이 자료항목을 쓸수 없다. 다음에 창조자는 자료 
항목의 등급을《높은》 ( high ) 으로 설정 한다. 그 자료항목의 등급이 누구에게 나 다 알 
려 진다. 그러면 높은 준위사용자들은 낮은 준위주동체에 의하여서는 접근될수 없는 자 
료항목에 비밀정보를 쓸수 있다. 

접근될수 없는 낮은 자료를 포함하는 관계에 높은 준위 무이를 창조하기 위하여 관 
계를 서로 다른 부분으로 분할해 준다. 우리의 실례에서 창조자는 이름과 두개의 다음 
관계 에 대 한 접 근클라스 U_Bookings 와 C_Bookings 를 포함 하는 공개 된 표 
All_bookings 를 새 롭게 구축한다. U_Bookings 관계 는 1차열 쇠 가 공개 되 여 있는 
Bookings 의 모든 기입항목을 포함하며 C_Bookings 관계는 1차열쇠가 비밀로 되는 모 
든 기 입항목을 포함하고 있다(그림 15-8). 

일반사용자는 관계 C_Bookings 가 있다는것을 알지 만 관계 U_Bookings 에만 접근 
할수 있다. 

마찬가지 로 아래 삽입방법 을 응용에 고유한 완정 성 제 한에 적 용하면 제 한의 내 용을 숨 
길수 있으나 그의 존재는 감출수 없다. 높은 준위의 제한조건을 받는 낮은 준위자료항목 
을 갱신하려고 시도하는 낮은 준위주동체는 제한이 있다는 경고를 받고 갱신을 금지시킬 
수 있다. 

SeaView 방법에서는 보안표식들이 1차열쇠의 부분으로 되므로 열쇠공간이 실제적으 
로 확장되며 갱신 또는 선택과 같은 자료기지조작의 처리에서 변화가 생기게 된다. 


All_Bookings 비 행 기 Bk_Class 
U_Bookings U 
C_Bookings C 


비 행 기 [Fl_Class] 

목적 지 [De_Class] 

좌석 [Se_Class] 1 

AX301 

U 

K.L. 

U 

2 

U 

GR555 

U 

L.A. 

C 

11 

C 


비행기 Fl_Class 

목적지 De_Class 

좌석 Se_Class 

CA909 C 

H.K. C 

7 C 


그림 15-8. 아래삽입접근전략의 실례 
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아래삽입에 의하면 다중구체례제시와 이것에 해당한 열쇠공간의 확장 그리고 관계들 
이 없이도 다중준위무이들을 창조할수 있다. 물론 아래삽입은 결함도 있다. 모든 자료항 
목들은 낮은 준위주동체 에 의 하여 창조되 고 적 당히 분류되 여 있어 야 한다. 

모든 보안방책들이 이러한 분류절차와 다 일치하는것은 아니다. 이밖에도 주동체가 
새 로운 자료항목을 창조할 때마다 낮은 준위의 방조자를 필요로 하기때문에 높은 준위주 
동체의 작업은 무엇 인가 지장을 받게 된다. 


제5절. 실현에서의 문제 

이 장에서는 여러준위보안 관계형자료기지체계에 관한 리론을 개략적으로 고찰하였 
다.이 리 론을 더 욱 전개하면 제16장에서 또 다른 측면을 보게 될것 이 다. 여 기서는 
MLS-RDBMS 의 실천에서 제기되는 문제들을 론의한다. 이러한 체계를 실현하는데 두가 
지 서 로 다른 방법 들이 존재한다. 

첫 번째 선택 은 자료기 지 체 계 를 여 러 준위 보안조작체 계 의 맨 웃층에 서 실 행 하는 봉사 
를 취 급한다. MAC 는 조작체 계의 참조감시 기 에 의하여 시 행된다. 이 전략에서 조작체 계 
는 단일 준위 주동체 들과 객 체 들을 처 리하여 야 한다. 

• 매개 접근클라스에서 동작하는 개별적인 단일준위 DBMS 처리가 있다. 

• 다중준위관계 들은 단일준위체 계파일의 집 합으로 기 억된다. 

• DBMS 는 조작체 계 에 의하여 지 원되 는 접 근클라스의 부분순서 화를 리 용하여 야 한다. 

조작의 이 방식은 B 1 체계들에 대하여 인증된 보안준위를 실현하는데 필요하다. 
DBMS 는 MAC 와 관계되는 한에서는 결코 TCB 의 부분으로 되지 않는다. 조작의 
이 방식은 또한 DBMS 가 정상적 으로 제공하는 여 러 가지 최 량화방법들을 사전에 해볼수 
있게 하므로 그다지 효과적 인 방법 이 라고 볼수 없다. 더우기 표에로의 접근은 파일에 대 
한 다중접근조작으로 변환될수 있다. 

이 방식에서 DBMS 의 매개 구체적 인 례는 자기의 준위 나 보다 낮은 준위 에 있는 자 
료만 볼수 있 다. 따라서 보다 높은 준위 접 근클라스에 있는 무이에 관하여 실체 완정 성 의 
특성 을 위 반하는것 은 검 출할수 없으므로 다중구체 례 제 시 가 자동적 으로 발행 된 다. 

두번째 선택에서 단일한 DBMS 처리는 모든 접근콜라스에 있는 자료에 접근하는 신 
용 받는 주동체 처 럼 동작한다. 이 때 DBMS 에 는 MAC 를 시 행하는 참조감시기 가 있 다. 
DBMS 가 전체 자료기 지 를 알기 때 문에 실체완정 성 특성 에 대 한 위 반들을 모두 검 출할수 
있다. 따라서 낮은 사용자가 우연적으로 높은 준위 자료항목을 갱신하려고 할 때 대처하 
는 방법 을 결정할수 있 다. DBMS 는 

• 갱신을 진행하고 자료항목을 다중구체례제시할수 있다. 

• 갱신을 부정하고 검열일지에 이 사건을 기록할수 있다. 

두번째 경우에 DBMS 는 그것을 즉석에서 차단하지 않고 잠복통로를 감시한다. 단일 
한 다중준위 DBMS 가 보다 효과적이지만 첫번째 선택보다 보증은 떨어 진다. 이때 
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DBMS 는 TCB 의 부분으로 되 며 보안은 대 규모적이 며 매 우 복잡한 쏘프트웨어 에 기 초하 
여 실현된다.이 러한 해결책은 구체적 인 안전한 다중준위조작체계를 요구하지 않는다. 특 
수한 사용자 《 Database 》 가 자료기지를 이루는 모든 파일들을 소유할수 있으므로 DAC 
방책 들은 다른 조작체 계 사용자들에 의 하여 자료기 지 파일들이 호줄되 지 못하게 하는데 는 
충분하다. 검 열기록에서 언급한것 처 럼 검 열자료가 여 러 가지 보안준위들사이 의 다른 하나 
의 잠재적인 정보통로로 된다는것을 잊지 말아야 한다. 따라서 검열기록들도 표식화되여 
야 한다. 검열선택권들은 체계에 기록될 사건들을 지적한다. 검열기록의 보안준위는 개 
개의 검열선택권을 정의한 사용자의 준위가 아니라 검열된 사건을 시동하는 조작을 진행 
한 사용자의 준위로 되여야 한다. 

다중준위안전자료기 지 를 선택 하는 경 우에 도 다중준위 무이 들이 실제 로 필요한 유연성 
을 가져다 주는가 하는것과 그것으로 하여 골치거리가 생길수 있는가를 질문할수 있다. 

자료기지방안을 합리적으로 설계하면 단일준위무이에서도 충분하다.관계에 서로 다 
른 보안준위의 무이들이 포함되여 있을수록 다중구체례제시로 되는 원인도 그만큼 많아 
지게 될것 이 다. 그러 나 무이의 다중구체례제 시는 자료항목의 다중구체례제시 에 비 하여 
휠씬 관리 하기 쉽다. 이것은 MLS-RDBMS 에서 찾아 볼수 있다. 


이 장의 문헌안내 

SeaView 개발계획의 보안모형은 [40] 4 [91] 에서 구체적으로 서술되여 있으며 [25] 
에서도 취급되였다. 낮은 삽입전략은 [161] 에서도 제시되였다. 다중구체례제시와 완정성 
사이의 모순을 해결하는 가장 좋은 방법과 표제기사들의 리용에 관한 문제들은 [70,7 l | 
에서 론의되 였다. 1980년대 말과 1990년대 초의 보안에 관한 학술토론회학회 지 에서 여 러 
준위자료기 지 보안에 관한 많은 연구보문를 찾아 볼수 있 다. 

상업용으로 평가된 B 1 여 러준위보안 자료기지제품들은 다음과 갈다. 


• INFORMIX-OnLine/Secure 4.1 과 5.0 은 http://www.informix.com 

• Trusted Oracle 7 은 http:/ 八 vww.oracle.com 

• Sybase SQL Server Version 11.0.6 은 http://www.sybase.com 

매개의 보증서들도 압축된 정보원천으로 되며 특히 보안을 실현하기 위하여 리용되 
는 체 계등록정 보도 자료기 지보안에 대 한 중요한 참고서 라고 볼수 있 다. 

련습문제 

1. SELECT , UPDATE , INSERT , DELETE , CREATE 등의 SQL 조작을 실현하 
는 위 임접근조종을 정의하시오. 

2. 묘가 n 개의 속성 al ，...， an 을 가지는 관계라고 하자. 관계 R 와 속성 al，...，an 
그리고 이 관계에 있는 모든 자료항목들은 표식화된다. 이 보안표식着에 따르는 
일관성규칙을 표현하시오. 
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관 계 Accounts ( 구 좌 ) 는 1 차 열 쇠 가 Customer_Id 이 고 속성 이 Name ( 이 름 )， 
Balance (잔고)， Rating (리자률) 이다. 호출콜라스는 3개 즉 비밀에 속하지 않는 
( U ), 비밀과 관계 되 는 ( C ), 비밀 ( S ) 가 있다. DBMS 는 요소준위 에 서 다중구체례 제 
시 를 리용한다. 처 음에 표는 비 여 있 다. 다음과 같이 갱 신을 하자.이 때 매 개 마당의 
보안준위는 꺾쇠괄호안에 주었다. 

C 01 [ U ] Kane , Etll 15 K A [많 

C 15 [_: Hall [ S ] 300 K [ S ] AA [ C ] 

C 23 [ U ] Blake [l|l. 38 K [ C ] B 紋] 

C 23 [ U ] Blake [Ul 9 K [■ A [ U ] 

• 두번째 갱 신에서 일 치하지 않는 리 유는 무엇때 문인가? 오유를 정 정하시 오. 

• 4번 갱신한 다음에 어느 기입항목들이 자료기지에 기억되는가? 

• 被, C , S 준위의 사용자들은 4번 갱신한 다음 표를 읽을 때 무엇을 보게 되 
는가? 

아래 삽입 이 있는 DBMS 는 우의 련습문제 에서의 요구를 어 떻게 처 리하겠는가? 

표식 화의 최 소단위 로 무이 를 리용하는 관계형자료기 지 의 보안모형 을 서 술하시 오. 

다중구체례제시는 관계형자료기 지모형의 실체완정 성규칙 을 준수한다. 잠복통로를 창 
조하지 않고 여 러가지 분류준위에서 자료항목을 계산하는 응용에 전용인 완정성규 
칙을 시 행할수 있는 체계를 정의하시오. 

다중준위안전자료기지 에서 여 러 가지 보안준위 의 자료항목들은 자료기 지질문의 선택 
평 가기 준에 맞을수 있 다. 일 부 자료항목들이 질 문을 제 기하는 사용자의 통과허 가준 
위우에서 분류되였다면 DBMS 는 정확한 대답을 줄수 없다. 가치 있는 답변을 주면 
서 도 민감자료는 로출되지 않도록 질문을 수정할수 있는 서 로 다른 방법 들을 론의 
하시오. 

다중구체례제시 를 실현하기 위 하여서 는 요소접 근조작들이 자료기지 에 적응되 여 있 
어 야 한다. 아래 삽입방법 을 실 현 하기 위하여 사용자들은 새 로운 표를 창조할 때 개 
별적인 단계들을 거처야 한다. 두 경우에 체계의 어느 부분이 변경되여야 하는가? 
어느 풀이 가 높은 믿음성을 실현하는데 적 합한가? 



제 16 장. 병행조종과 여러준위보안 


1장에서는 보안을 실현하는데 상당한 품이 요구된다는것을 강조한다. 앞장에서는 여 
러 준위 보안과 자료기 지 완정 성 사이 의 모순점 들을 고찰하였 다. 

이 장에 서 는 여 러 준위 보안과 병 행 조종사이 의 호상작용을 조사한다. 

여 러준위보안과 병행조종은 모두 확고한 리론적토대 에 기초하고 있으므로 자료기지 
체계 에서 보안과 리용가능성사이 에 존재하는 리론적 및 실천적 인 이률배 반관계를 정 확히 
구분할수 있다. 


목적 

• 병행조종과 여러준위보안사이의 모순이 생길수 있는 원인을 리해한다. 

• 병행조종을 간단히 소개한다. 

• 직 렬화가능성 을 실현하면서 여 러준위 보안을 진행 하는 두가지 병 행조종방안들을 검 토 
하고 매개의 약점들을 분석한다. 

• 여 러 준위 보안체 계 들의 비 직 렬성 병 행 조종기 구들을 분석 한다. 


제1절. 동기 

자료기지에서 정보를 검색하는 주문자들은 일반적으로 응답시간이 른것을 싫어 한다. 
따라서 DBMS 는 두명 이상의 사용자들이 동일한 자료항목을 동시에 접근하려고 하는 정 
황에 효률적으로 대처 하지 않으면 안된다. 이러한 경우에 어떻게 하여야 하겠는가? 한명 
의 사용자를 계속 기다리게 하겠는가? 이렇게 하면 자료기지의 리용를이 떨어 진다. 실 
례 로 항공좌석 예 약체 계 에 서 어 떤 사람이 정 기 항공정 보를 보고 있는 기 간에 다른 사람은 
기다렸다가 려행정보를 읽어야 한다. 

한편 두 사람이 동일한 자료항목에 동시에 접근하게 하면 자료기지에 기억되여 있는 
정 보가 일 치하지 않을수 있 다. 실례 로 동일 한 은행 구좌에 저금하는 두개의 업 무를 고찰 
하자. 

매 개 업 무는 현재 의 차액잔고를 읽 고 저 금액 수를 첨 부하여 그 액 수를 합하여 다시 
자료기지에 써넣는다. 

현재의 차액이 85원이라고 하자. 첫 업무는 100원을 구좌에 저금하고 두번째 업무는 
25원을 저금한다고 하자. 이때 어떻게 되겠는가? 

1. 첫 번째 업 무는 차액잔고를 읽 고 85원을 검 색한다. 

2. 두번째 업 무는 차액잔고를 읽 고 85원을 검 색한다. 

3. 첫 번째 업 무는 새 로운 차액잔고 85원+100원=185원을 계 산하고 185원을 
자료기지에 써넣는다. 

4 두번째업 무는 새 로운 차액잔고 85원+25원=110원을 계 산하고 110원을 
자료기지에 써넣는다. 
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이때 자료기지에는 110원이 들어 있게 되며 100원은 없어 진다. 두개의 업무를 표 
현하는 지불전표와 갈은 다른 자료가 더 있으면 좋을것 이다. 이 업무들에 귀착되는 자 
료는 구좌의 잔고와 일치하지 않을것 이 다. 또한 구좌의 잔고는 그 소유자의 기대값과도 
일치하지 않게 된다. 자료기지를 일치한 상태로 보관하는것은 필수적인 문제로 된다. 

병행조종의 과제는 될수록 자료기지의 일관성을 위 태롭게 하지 않으면서도 사용자들 
에 게 많은 접 근을 제 공하는것 이 다. 다중준위 안전병 행 조종알고리 듬을 고찰하기 위 하여 병 
행조종을 간단히 소개하려고 한다. 


제2절. 병행조종 

우리의 목적은 사용자들이 자기의 매개 프로그람이 더 이상 분해할수 없는 단위로(원 
자적으로) 실행하는것처럼 생각하게 하는것이다. 다시말하면 마치도 동시에 실행되고 있 
는 다른 프로그람이 없는것처럼 보게 하는데 있다. 이와 같이 실행단위를 최소단위로 추 
상화하는것 (원자적실행의 추상화)을 거래 ( transaction ) 라고 부론다. 여기서는 거래가 언 
제 나 정 확하다고 가정한다. 례하면 거래 가 자료기지를 일치한 상태 에 계속 보관한다고 
가정 한다. 

거 래는 자료기지 기 입 항목들을 조작하기 위 하여 자료기지 조작들을 리 용하는 프로그람 
이 다. 사용자들이 제 일 많이 쓰는 자료기 지조작들은 읽 기 ( read ), 쓰기 ( write ), 위 임 
( commit ) , 포기 ( abort ) 들이 다. 다음과 같은 의미로 쓰기로 하자. 

• r t ： 거 래 Ti 가 내 보내는 자료항목 x 에 대 한 읽 기 조작 

• Wi[x\ : 거 _ Ti 가 내보내는 자료항목 ;c 에 대한 쓰기 조작 

• Q ： 거 래 Ti 가 성 공적 으로 끝날 때 내보내 는 위 임조작 (완결 조작) 

• a ； 는 거래 Ti 가 포기 하는 경우 내보내는 포기 조작 

식 pilxl 또는 公 . Lx ] 는 거 래 T t 에 의하여 발생 되 는 자료항목 x 에 대 한 어 떤 조작을 
가리키 는데 이 것은 쓰기 또는 읽 기조작으로 될수 있다. 

DBMS 가 매 개 조작을 원자적 으로 실 행 한다고 가정한다. 이 와 같은 추상화준위 에 서 
DBMS 는 마치 도 조작들을 순차적 으로 실 행하는것 처 럼 동작한다. 서 로 다른 거 래 들에 속 
하는 조작들을 번갈아 실행 함으로써 DBMS 는 거래를 엇바꾸어 진행한다. 거 래를 번갈아 
진행하면 자료기 지 의 동시호출이 보다 효과적 으로 되 게 할수 있 다. 방금 본것 처 럼 거 래 
를 번갈아 진행하는것은 일관성이 위반되는 잠재적인 원천으로도 된다. 병행조종은 병렬 
로 동작하는 처 리의 작용을 조장하며 공유자료에 접근하므로 서 로 잠재적으로 간섭할수 
있 다. 


정의: 병렬거래가 번갈아(엇끼우기) 실행할 때 이것이 직렬로 실행할 때와 자료기지 
에 주는 효과가 같다면 직 렬가능하다고 한다. 


직렬가능한 실행은 마치도 거래가 직렬로 실행되는것처럼 자료기지를 계속 동일한 
상태에 남아 있게 하므로 정확히 실행된다. 매개 개별적인 거래가 일관성을 보존한다는 
가정 하에서 는 거 래호출의 임의의 직 렬실행 도 일관성 을 보존할것 이 다. 

이 론의 는 BLP 모형 (제4장 2절)의 기 본보안정 리 와 정 확히 같다. 
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우의 실례로 되돌아 가면 두개의 예금업무를 직렬로 실행할 때 첫번째 업무(거래)는 
85원을 읽 고 100원을 더하며 다시 185원을 쓴다. 그러 면 두번째 업 무에서 는 185원을 읽 
고 25원을 더하여 210원을 쓴다. 

직 렬 화가능성 을 실 현 하자면 충돌하는 조작들에 의해 발생하는 문제 들을 고찰하여 
야 한다. 


정의 : 두개의 조작들이 서 로 다른 거래 에 속하고 같은 자료항목에 조작을 진행하며 
적어도 하나의 조작은 쓰기이면 이 두개의 조작들을 충돌이라고 부론다. 


우리의 실례에서 두개의 거래들은 다른 거래가 발생하는《읽기》및 《쓰기》와 충 
돌하면서 자료항목《 차액 잔고》 ( balance ) 에 써 넣 었다. 

1. 적극적 및 보수적일정작성프로그람 

병 행 조종을 처 리 하는 DBMS 부분은 거 래 를 처 리 하고 자기 의 조작을 일 정 작성 프로그 
탐에 넘 겨 주는 거 래관리 자 ( TM ) 를 포함하고 있 다. 일정작성 프로그람은 조작을 실행하 
겠는가 그리 고 언제 실행하겠는가를 자료관리 자 ( DM ) 에 게 물어 보고 결정한다. 일정작 
성프로그람이 TM 으로부터 조작을 접수할 때 다음의 3가지 선택항목을 가진다. 

1. 즉시 에 조작의 일정 을 작성한다. 

2. 조작을 지 연시 켰 다가 후에 다시 고려한다. 

3. 조작을 기각시킨다. 

적극적 일정작성 프로그람 (aggressire scheduler ) 은 이후에 받게 되는 조작들의 순서 
를 다시 정할 기회를 앞질 러 나가면서 즉시 에 조작들의 일정을 작성 함으로써 지 연을 피 
하려 고 시도한다. 

적극적일정작성프로그람은 모든 능동적인 거래를 직렬가능한 실행으로 끝낼 가망이 
없는 정황에 빠질수 있다(거래가 시동은 되였지만 끝나지 않거나 포기되지 않는다면 능 
동이 라고 말한다). 

이 시 점 에 서 적 극적 일정 작성 프로그람은 하나 또는 그이 상의 거 래 를 포기 하고 재 시 동 
하여야 한다 ( roll - back ). 

적 극적 일정 작성프로그람은 병 행조종을 최 량적 으로 실현한다. 최 량적 인 병 행 조종은 
충돌이 드물게 발생하여 재시동이 거의 진행되지 않는 경우에 적합하다. 

보수적 일 정 작성 프로그람 ( conserva ti V e schedaler ) 은 이 후에 접수한 조작들의 순서 
를 다시 정하는데 보다 많은 여유를 얻으러고 조작들을 지연시키 려고 한다. 

보수적 일정 작성프로그람은 직 렬가능한 실행 을 산생시키는 조작들을 기각시켜 야 하는 
정황에서는 적합하다고 볼수 없다. 

극단한 경우에 보수적 일정 작성프로그람은 거 래를 직 렬로 처 리 한다. 

적극적 일정 작성프로그람과 보수적 일정 작성프로그람사이 에는 명백 히 이률배 반관계 가 
있 다. 

• 적극적일정작성프로그람은 조작들이 지연되는것을 피하므로 이후에 그에 의한 위험 

성은 제거된다. 

• 보수적작성프로그람은 조작들을 심 사숙고하여 지 연시 킴 으로써 조작들이 기 각되 는것 

을 피한다. 


271 




지나친 제한을 피하기 위하여 보수적일정작성프로그람은 아직 수신되지 않은 조작 
들을 될수록 정확하게 앞질러 처리하여야 한다. 매개 거래에서 필요한 기본정보는 자 
료항목의 모임에 대하여 읽기와 쓰기를 하는 readset 와 writeset 이다. 아주 보수적 
이 라고 볼수 있는 일 정작성프로그람을 구축하는데 서 장애 물로 되 는것 은 주어 진 하나 
의 프로그람을 각이하게 실행시키면 거래가 자료항목의 각이한 모임에 접근하게 될수 
있 다는것 이 다. 

따라서 거 래는 읽기 또는 쓰기할수 있는 전체 자료의 모임을 미 리 선언해 주어 야 한 
다. 이때 흔히 거래가 자기의 readset 와 writeset 를 과장하게 한다. 거래가 고수준질 
문언어를 리용하여 DBMS 와 작용하는 경우에도 우와 같은 문제 가 발생 할수 있다. 

거래 가 readset 와 writeset 를 하는 모임을 실제보다 크게 나타낸다면 일정작성프 
로그람은 앞으로 절대로 발생되지 않는 기타 조작들까지도 미리 예견하여 조작들을 지연 
시 킬수 있기 때 문에 필 연적 이 라기 보다도 보수적 이 라고 말하는것 이 더 좋을것 이 다. 

2. 2-상잠금 

2-상잠금은 오늘 DBMS 제품들에서 쓰이고 있는 가장 일반적인 병행조종기구이다. 
잠금방법은 공유자료에 대한 접근을 동기화하는데 쓰이는 가장 일반적 인 수단으로 되고 
있다. 매개 자료항목은 자기와 관계되는 자물쇠를 가지고 있다. 

다|>]가 자료항목 ; c 에 대 한 읽 기자물쇠， wZ ,+ W 가 거 래호출 가에 의하여 얻 어 진 ; c 에 
대한 쓰기자물쇠를 나타낸다고 하자. 이때 와 은 가가 에 대한 읽기 또는 
쓰기 자물쇠를 해제 하는 조작을 나타낸다. 마찬가지 로 폐 Dt ] 와 ^뇨]는 와 必 + W 의 
조작에 필 요한 에 대 한 자물쇠 를 나타낸 다. 대 응하는 자물쇠 열 기조작들은 와 

qui [ x ] 이 다. 


규칙: 두개의 자물쇠가 동일한 자료항목에 걸려 있고서로 다른 거래에 의하여 발생 
되며 그들중 적 어도 하나는 쓰기자물쇠 라면 두 자물쇠는 충돌한다. 


보다 형식적으로 말하여 x = y , i 유 j • 이고 p 와 요의 조작들이 상반되는 형을 가진 
다고 하면 두 자물쇠 해 [ x ] 와 폐 W 는 충돌한다. 

일정작성프로그람은 확고히 서로 다른 거래에 허락되는 자물쇠중에서 충돌하는 자물 
쇠가 없게 해줌으로써 자료항목에 대한 접근이 충돌하는것을 막아야 한다. 기본2-상잠금 
일정작성프로그람 (2 PL ) 은 아래의 규칙에 따라 거래가 자기의 자물쇠를 얻고 해제하는 
시 간을 조종하는 방법 으로 자물쇠 를 관리한다. 


규칙 1： 일정작성프로그람이 ™ 으로부터 於느]조작을 받으면 pZ , 心:]는 이미 설정된 어 
떤 자물쇠 功田와 충돌하는가를 검사한다. 만일 충돌한다고 하면 를 지연시켜 
필요한 자물쇠를 설정할수 있을 때까지 가를 기다리게 한다. 충돌하지 않는 경우 일 
정작성프로그람은 때[뇌를 설정하고 을 DM 에 보낸다. _ 


규칙 2： 일정작성프로그람이 일단 가에 자물쇠 /攻나]를 설정하기만 하면 적어도 그 
자물쇠 에 해 당한 조작 切나] 를 처 리 하였 다는것 을 £» M 이 인정 하기전에 는 그 자물쇠 를 
절대로 해제할수 없다. 


규칙 3： 일정작성프로그람이 거래 에 쓰이는 자물쇠를 해제하였다면 그 거래 에서는 
그밖의 자물쇠를 뒤 이어 얻을수 없다. 
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규칙 1은 두개의 거래가 충돌방식으로 자료항목을 동시에 호출하지 못하도록 한다. 
규칙 2는 규칙 1에 일정작성 프로그람이 허 용하는 순서 로 DM 이 자료항목에 대 하여 
조작을 실행한다는 담보를 보충적으로 주고 있다. 

2-위상규칙이라고도 하는 규칙 3에서는 매개 거래의 실행을 아래의 두개 위상으로 
구분한다. 

• 증가위상，거래가 자물쇠들을 얻는 기간. 

• 축소위상，거래가 자물쇠들을 해제하는 기간. 

2 PL 은 병 렬적 인 거 래들에 속하는 충돌조작들에 이 거 래를 직 렬실행순서와 갈게 순 
서 작성 한다. 

이와 같은 견해는 다음과 같은 정리의 기초로 된다. 


정리: 2-상잠금은 직렬가능한 형태로 거래의 교차적실행을 쉽게 한다. 


그러나 기초적 인 2-상잠금은 영구대기 ( deadlock ) 를 극복하지 못하므로 이것을 해결 
하기 위한 기구가 보충적으로 필요하다. 이것은 사실상 우리의 실례에서 틀림없이 일어 
나게 될 것 이 다. 거 래 호출 캬와 r 2 은《 차액잔고》에 관하여 읽 기자물쇠 를 엄 는다. 그이 
후부터는 두개의 거래호출이 모두 차단되게 된다. 그것은 두개의 거래가 다른 거래에 의 
하여 점유되는 읽기자물쇠와 충돌하는 쓰기자물쇠를 필요로 하고 있기때문이다. 

3. 다중판본시간도장순서화 

다중판본시 간도장순서 화 ( multi-version timestamp ordering ) 는 다른 하나의 병 행 
조종기 구이 다. 다중판본자료기 지 는 매 개 자료항목의 다중판본을 기 억할수 있 다. DBMS 
는 이 사실을 사용자가 모르게 숨긴다. 

거래는 개별적판본을 기준으로 작성되지 않았으므로 DBMS 는 거래를 자료항목의 해 
당한 판본으로 넘겨 실행한다. DBMS 는 거래가 접근하는 자료항목의 판본을 선정할 때 
일관성조건을 고려할수 있다. 따라서 동일한 자료에 로 접근하는 거 래는 그 자료항목의 
여 러 가지 판본에 대 처할수 있 으므로 불일 치한 상태 로 될 가능성 도 첨 부된 다. 

다중판본자료기지에서 거래를 교차식으로 진행하기 위하여서는 다음과 갈은 성질을 
가져 야 한다. 


정의 : 다중판본자료기지우에서 거래모임의 교차식실행이 단일판본자료항목으로 된 
자료기지 에서 거래의 어떤 직렬실행과 동등하다면 1회복사직 렬가능하다고 한다. 


다중판본시 간도장순서 화방법 ( MVTO ) 은 다중판본자료기 지 에 적 합한 병 행 조종알고리 
듬이다. 자료항목들은 여러개의 판본을 가진다. 

자료항목 X 의 i 번째 관본을 X.i 로 표기 하자. MVTO 일 정 작성 프로그람들은 아래 
의 시 간도장을 리용하는데 시 간도장을 할당하는 방법 에 서 일정작성프로그람들은 차이 가 
있 다. 

• 매개 거래에 고유한 시작시간이 주어 진다. 두개의 거래에 동일한 시작시간을 할당 
할수 없 다. 시 작시 간은 체 계 박자 (system clock ) 또는 계 수기 ( counter ) 로부터 유 
도할수 있으며 보통 어 떤 거 래의 첫번째 조작이 순서 정 해 진 시 간을 가리키지 만 
시작시간이 반드시 그 거래가 실제적으로 시작된 시간은 아니다. 
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• 모든 쓰기조작은 쓰기시간도장이 할당된 자료항목에 대하여 새로운 판본을 창조한다. 

쓰기시간도장은 쓰기조작을 진행한 실제적인 시간과 반드시 일치하지 않아도 된다. 

• 매개 읽기조작에는 읽기시점 (read point) 이 할당되여 있다. 읽기요구는 읽기시점보 

다 앞에 있는 가장 큰 쓰기시 간도장을 가지는 자료의 판본으로 넘겨 진다. 

• 자료항목의 매개 판본은 읽기시간도장을 가진다. 읽기조작은 읽어 지는 자료항목의 

판본에 대 한 읽기시 간도장을 갱 신한다. 새 로운 읽 기시 간도장은 현재읽기시 간도장 

또는 조작의 읽기시점중에서 최신의것이 된다. 여기에서도 읽기시간도장이 반드시 

마지막으로 판본을 읽은 시간으로 되여야 한다는 법은 없다. 

정의에 따르면 자료항목의 어떤 판본에 대한 쓰기시간도장은 언제나 읽기시간도장보 
다 앞선다. 

거래의 시작시간을 모든 읽기조작의 읽기시점과 모든 쓰기조작의 쓰기시점으로 리용 
하는 MVT ◦순서 일 정 알고리 듬을 고찰하자. 

은행구좌번호의 실례를 여러 판본자료기지에서 표현하면 조작의 렬은 다음과 같이 
쓸수 있다. 

조작 startl rl[b. 1] start2 r2 [b. 1] wl[b. ■幻 w2[b.3] 

박자표식 12345 6 

차액잔고에 대 한 판본 fc.l 의 쓰기 시 간도장이 0 또는 어 떤 초기 값이라고 가정 하자. 
노1의 읽기시간도장은 첫번째 거래의 시작시간으로써 먼저 1로 갱신되였다가 다음에 3으 
로 갱신된다. 

판본 fc.2 의 쓰기시간도장은 1이며 그 값은 이 실례에서 185원이다. 

판본 노3 에 대한 쓰기시간도장은 3이며 그 값은 110원이 다. 

이 실례의 은행업무처리와 같이 첫번째 거래가 자료항목을 읽고 이것이 끝나기전에 
두번째 거래가 그 자료항목에 대한 새로운 판본을 쓰러고 하는 경우에는 문제가 생긴다. 
따라서 MVTO 일 정작성프로그람은 만일 새 로운 쓰기 시 간도장이 쓰러 고 시 도하는 자료 
항목의 판본의 쓰기 와 읽 기 시 간도장사이에 있 다면 쓰기 조작을 기 각시 켜 야 하며 쓰기 요청 
을 내 보내 고 있는 거 래를 포기하여 야 한다. 보다 형 식적 으로 말하면 자료항목 x 에 대 한 
쓰기 조작은 새 로운 판본 mew 을 창조하기 때 문에 만일 다음의 관계 식 에 성 립하는 판본 
x. i 가 존재 한다면 기 각되 여 야 한다. 

write timestamp 0c./) < write timestamp 0c. new) < read timestamp ( x . i ) 

시 간도장을 이 와 같이 설정 해 주는 방책 과 방법 에 의 해 MVT ◦순서작성 프로그람은 
1회복사직렬화가능성을 담보한다. 

우리의 실례에서 첫번째 거래가 차액잔고를 새롭게 쓰려고 시도하는 경우에는 이것 
을 포기할것 이 다. 그것 은 


write timestamp (公. 1)=0 < write timestamp (公. 2)=1 < read timestamp (公. 1)=3 
이기때문이다. 
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제 3 절. MLS 병행조종 

병행조종은 공유된 자료에 대한 접근을 동기화한다. 동기화는 여러가지 형태의 통신 
을 필요로 한다. 자료항목이 현재 입력될수 없기때문에 거래가 지금 진행될수 없다는것 
을 최소한 거래에 알려 주어야 한다. 이러한 통보문에는 자료항목을 차단하는 거래로부 
터 자료항목을 기다리는 거래까지의 정보흐름이 포함되여 있다. 여러준위보안에서는 비 
법적인 정보흐름에 대하여 불안한감을 가지고 있다. 명백하게 말하여 병행조종과 여러준 
위보안은 서로 다른 방향에서 론의되는 문제들이다.두가지 측면을 고려하여 다중준위안 
전병행조종알고리듬을 찾아 낼수 있겠는가? 

1. 일반적관찰 

표준 MLS 모형에서 모든 주동체들과 객체들은 보안표식을 가지고 있다. 자료기지의 
거래와 조작들의 접근클라스(보안표식)들은 다음과 같이 결정될수 있다. 

• 사용자가 체계에 가입하면 사용자가 가입한 통과허가를 가지고 동작하는 처리가 
시작된다. 

• 이 처리가 거래를 시작하면 거래는 처리의 접근콜라스를 계승한다. 

• 이 거래의 어떤 조작을 내보내면 조작은 거래의 접근콜라스를 계승한다. 

그러 면 제15장 5절 로 되 돌아 가자. 여 러 준위보안이 가장 강한 상태 에 있 자면 오직 
하나의 단일 준위주동체 가 있 어 야 한다. 매 개 주동체 가 자료기 지 의 접 근을 필 요로 하고 
있을 때 조작체 계 는 그 주동체 의 접 근클라스판본을 가지 는 DBMS 을 구체 례 제 시 화하여 야 
한다. 따라서 단일한 DBMS 가 아니라 서로 다른 보안준위에서 개별적인 DBMS 들이 존 
재하게 된다. 

병행조종기구들은 자료기지의 대역적 인 특성을 만족하여야 한다. 

어떤 특성 이 전체 자료기지에 대하여 준수되여야 한다면 대역적 이 라고 한다. 

어떤 특성이 자료기지의 부분모임에서만 실례로 하나의 개별적인 보안준위에서 준수 
되여 야 한다면 국부적 이라고 한다. 



- r h [ d ] r h [ c ] w h [ r ] 


- o [c] r； [rf] Wild] wi [c] ci 


그림 16-1. MLS 환경 에 서 일 정작성 

만일 여러가지 접근클라스에 있는 단일준위주동체들이 서로 작용하지 못하도록 보안 
방책 을 작성한다면 비록 그것 들이 대 역 적 인 특성 을 만족시 키 기 위하여 서 로 협동, 협 력 
하여 작용한다고 하여도 대역적특성을 만족하기가 곤난하거나 불가능할수도 있다. 보안 
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의 요구가 없 다면 단일 한 일 정작성프로그람이 2-상잠금방법 을 리용하여 도 직 렬화가능성 
을 담보할수 있다. 

그러 나 여 기서 고찰하는 보안모형 에서 는 일정작성 프로그람은 보안표식 을 배 정 받는 
주동체이다. 

• 모든 주동체 들이 단일 준위 에 있 다면 대 역 적 인 일정작성프로그람은 있을수 없 다. 

• 매개 접근클라스에서 자기의 클라스에 대 한 거 래만 작성하는 단일준위일정작성프로 
그람은 반드시 하나여 야 한다. 

• 단일준위일 정작성프로그람들은 총체 적 으로 대 역 적 인 직 렬화가능성 을 담보하여 야 
한다. 

일정작성 에 의 해서 가 아니 라 TCB 에 의하여 보안이 담보된다고 볼수 있는것 은 보 
안에서 취급할 문제가 아니다. 앞에서 론의한 전략을 다시 검토하고 새로운 요구에 적응 
시켜 야 한다. 

BLP 보안방책들은 충돌을 취급할수 있는 방도로 되기때문에 다음과 갈은 의의를 가 
진 다. 

• 쓰기낮음/읽 기 높음: 높은 준위 일정작성 프로그람은 낮은 일정작성 프로그람들의 동작 
을 보고 이 동작들에 반작용할수 있다. 낮은 일정작성 프로그람은 높은 준위 일정작 
성 프로그람의 동작을 보게 되 여 있지 않으므로 높은 준위 거 래호출에 무관계하게 결 
정 할 수 있 다. 

• 쓰기높음/읽기낮음: 이것은 BLP 보안방책들에 의 하여 금지된다. 여기서 보안은 충 
돌의 수를 제 한하므로 실제 적 으로 일정작성프로그람에 게 편리하다. 

• 동일 한 준위 에서 충돌하고 있는 접근조작들은 바로 그 준위 에 있는 단일준위일정작 
성 프로그람에 의하여 처 리 될 수 있 다. 

앞에서 우리 는 잠금과 시 간도장의 두가지 기 본적 인 일정작성 방법 들을 언급하였 다. 
잠금규약에서 다음의 정황을 생각해 보자. 준위 / z (높음)에서 거 래 T h 가 자료항목 표를 읽 
고 그다음 준위 I (낮음) 에 서 거 래 T 卜 (I < ft ) 이 동일한 자료항목 교에 쓰기 를 한다. 

이 충돌은 잠금에 의하여 해결■수 있는가 

八에 의하여 설정된 읽 기자물쇠 의 보안준위 에 따라 여 러 가지 로 말할수 있 다. 

낮은 준위 로 자물쇠 가 분류되 였 다면 낮은 일 정작성프로그람은 자물쇠 를 보게 될것 이 
며 T , 에 의하여 발생 되 는 쓰기 조작을 차단할수 있 다. 

그러 나 높은 준위 일 정작성 프로그람이 BLP 규칙 들을 위 반하면서 낮은 자물쇠 를 쓰기 
할 때 쓰기낮음이 이 루어 진다. 따라서 八에 의하여 설정 된 읽 기자물쇠 는 높은 준위 로 
분류되 여 야 한다. 읽 기자물쇠 는 낮은 일정작성프로그람에 게 보여 질수 없으므로 충돌을 
해결 할수 없다. 

MVT ◦일 정작성프로그람에 서 높은 준위 거 래 T h 가 낮은 거 래 가보다 후에 시 작하지 
만 가이 자료항목 x(l 준위 에 있는)를 쓰기하기 전에 ；(:를 읽 어 내 는 경 우를 생 각해 보자. 
이 때 충돌이 발생한다. 그것 은 ; Hi 대 한 현재 판본의 읽 기 시 간도장이 八의 시 작시 간으로 
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되겠지만 새로운 판본의 쓰기시간도장은 비록 후에 창조되였다고 하여도 읽기시간도장보 
다 앞선 가의 시작시간으로 되기때문이 다. 

이 충돌들 MVTO 로 해결할수 있는가 

이 경우에도 높은 준위일정작성프로그람이 쓴 시간도장들은 높은 준위로 분류하여야 
하므로 낮은 준위일정작성프로그람은 높은 준위의 거래를 여전히 모르고 있다는 문제에 
귀착된다. 

높은 준위 일 정 작성 프로그람만이 충돌을 해 결 할수 있 다. 높은 준위 일 정 작성 프로그람 
은 일관성을 담보하는 다음의 두가지 선택권을 가지고 있다. 

• 낮은 준위 거래와 하나도 충돌하지 않을 때까지 높은 준위 거래를 지연시킨다(최량 
병행조종). 또는 

• 높은 준위 거래에 충돌을 발생시킬수 있는 가능성이 있는 자료항목의 낡은 판본에 
높은 준위 거래의 접근권한을 부여한다(여러판본시간도장순서화). 

첫번째 경우에 높은 준위 거래는 기다리는메 싫증날수 있다. 

두번째 경우에 높은 준위 거래호출은 이미 낡아 쓸모가 적은 정보에 작용할수 있다. 
이 두가지 해결책을 좀더 구체적으로 고찰하자. 

2. 최량적인 MLS 병행조종 

최 량적 인 병행조종은 매개 자료항목의 하나의 복사본만이 존재하는 단일판본자료기 
지에서 실현된다. 

이때 거래는 자기의 실행을 계속할수 있고 따라서 결과는 다른 처리에로 넘어 가기 
( commit ) 전에 유효하게 된다. 어떤 충돌이 이 단계에서 발견되였다면 검사회복 ( roll ¬ 
back ) 이 발생하여 거래가 다시 시동된다. 

거래가《충돌이 일어 나지 못한다는 기대를 가지고》실행될수 있으므로 
이 전략은 최량적인 병행조종의 한가지 실례로 된다고 볼수 있다. 

거래는 3개의 위상에서 실행되며 보안준위가 거래와 같은 일정작성프로그람에 의하 
여 조종된다. 

• 읽 기 위 상: 주동체 는 자기 가 요구한 자료항목의 비 공개 복사를 엄 고 이 것 을 갱 신 한다. 
일정 작성프로그람은 이 위상의 시 작점을 start-read timestamp 로 표시 한다. 

• 유효위상: 일정 작성 프로그람은 transaction number 로 되 는 start-validation 
timestamp 를 설정한다. 일정작성프로그람은 충돌을 검사하고 충돌이 검출되 였다면 
회복처리 가 발생 하며 거래는 재 시 동된 다 . 

• 쓰기위상(비여 있을수도 있다.): 충돌이 없다면 거래는 다음의 처리에로 넘어 
( commit ) 가며 자료항목의 비공개복사는 공개복사로 된다. 

높은 준위의 거래가 유효할 때 다음의 세가지 조건이 동시에 만족시키는 경우에는 
충돌이 검출된다. 

1. 보다 낮은 준위의 거래에 의하여 충돌을 일으키는 자료항목이 존재한다. 
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2. 보다 낮은 준위의 모든 거래가 완료 또는 포기되기전에 높은 준위의 거래가 자기 
의 읽 기 위 상을 시 작하였 다. 결 과 높은 준위 읽 기 조작들은 자료기 지 의 서 로 다른 
(일 치한) 상태 들에 접 근하였을런지 도 모른다. 

3. 보다 낮은 준위의 어떤 거래가 자기의 유효위상에 들어 간 다음 높은 준위거래가 
자기의 유효위상에 들어 간다. 그렇지 않은 경우에는 그의 읽기조작들이 자료기 
지의 동일한(일 치한) 상태 에 대 하여 실행 되 였다고 담보된다. 

최 량적 인 단일준위일정작성 프로그람은 보다 낮은 준위의 거 래 와의 충돌을 검 출하고 
필요하다면 자기 준위의 거 래를 포기할수 있다. 

이 때 매 개 접 근클라스에 대 하여 시 간도장(거 래 의 고유한 번호)을 발생 하기 위한 체 
계낮음(론리 ) 박자가 필 요하게 된 다. 박자수당 오직 하나의 번호만이 발생한다. 

단일준위일정작성프로그람은 시작읽기시간도장，거래번호, 자기 준위의 거래에 대한 
모임읽기를 보관하며 다음과 같은것을 읽어야 한다. 

• 보다 낮은 준위에 있는 거래의 writeset 지령 

• 보다 낮은 준위의 거래에 대한 유효위상의 시작시간，즉 거래번호 

• complete - write 지령.보다 낮은 준위의 거래에 대한 쓰기완료(포기)시간 

일정작성알고리 듬은 접근클라스 ft 에 있는 거 래 八를 처 리할것 인가 말겠는가를 다음 
과 같이 결 정한다 [60]. 

T h 가 현재 유효단계 에 있다고 한다. 

IF 접 근콜라스 1(/ < ft ) 에 거 래 T n 가 존재하면 
거래-번호幻)〈 거래-번호(八)，그리고 
start - read ( r A ) < complete - write ( r ；), 그리 고 
writeset ( r ,) ■ fi : readset (T h ) 뉴 0 
THEN roll back and restart T h 
ELSE commit T h 

MLS 순서작성과정을 설명하기 위하여 다른 실례를 들자. 

《 low 》 로 표식화된 두개의 은행구좌번호 c (류통)， d (예금)를 가진 거래자를 고찰 
하자. 은행에는 또한 《 high 》 로 표식화된 상환능력성능평가지표가 보관되여 있다. 이 
평가지표는 c 와 d 의 차액잔고가 1000원보다 많으면 A 가 되여야 하며 그렇지 않으면 B 
로 된다. 높은 준위사용자들만이 상환능력성능평가지표를 갱신할수 있다. 처음에 구좌번 
호가 c :300, 小800， r：A 의 값을 가진다고 하자. 높은 준위거래 八가 상환능력성능평가 
지표를 검사하고 있는 동안 낮은 준위거래 T ) 은 c 로부터 d 로 200원을 전송한다. 다음과 
갈은 사건들의 렬을 생각해 보자. 

조작: r ; [ c ] r h [ d ] rild ] w ^ d ] vv ，[ c ] startvall c ， r A [ c ] w h [ r ] startval h 

박자수: 12 3 4 5 6 7 8 9 10 

거래 T ] 은 c :300, d :800 을 읽고 구좌번호를 c ：100, rf :1000 으로 갱신한다. 거래 T h 는 
가에 의하여 갱 신되 기 전에 rf :800 을 읽 고 다음에 가에 의하여 갱 신된후에 c :100 을 읽 는다. 
T h 는 불일 치한 평 가지 표 를 쓸것 이 므로 포기 되 여 야 한다. 3가지 충돌조건들이 다 들 
어 맞는다. 

이 실례에서 검사결과는 다음과 같다. 
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• transaction-number ( r ; ) =6 < transaction-number ( T h ) =10 : 

• start-read ( r A ) =2 < complete-write ( T h ) =7 : 

• writeset ( r , J , H readset ( r A )={ c } 


따라서 T h 는 포기 되 여 야 한다. 

3. 단일준우 I 일정작성프로그람이 있는 MVT 0 

단일 준위 일정 작성 프로그람을 가지 는 여 러 판본시 간도장은 이 후에 낮은 준위 의 쓰기 조 
작이 반드시 높은 준위 거래를 유효로 할수 있다는것을 사전에 담보함으로써 충돌을 피 
한다. 이것을 실현하기 위하여 높은 준위의 거래가 너무 낡아 보다 낮은 준위의 거래에 
의하여 절대로 접근되지 않는 자료항목의 판본을 강제로 읽게 한다. 

거래의 시작시간을 조종함으로써 거래가 읽는 자료항목의 판본을 조종할수 있다. 높 
은 준위 거래에 보다 낮은 준위에 있는 능동적인 어떤 거래의 시작시간보다 앞에 있는 
지난 시기의 어떤 시작시간을 줌으로써 능동적인 낮은 준위 거래의 쓰기조작과 절대로 
충돌이 일어 날수 없다는것을 확신할수 있다. 

이 일정작성알고리 듬에서 거 래의 시 작시 간도장은 실제의 시 작시 간시 간도장과 같지 
않을수도 있다. 이때 시작시간, 읽기시간 또는 쓰기시간도장은 사건을 일으킨 실제적인 
시간들에 대응하지 않는다. 

매개 접근클라스에서 단일준위일정작성프로그람은 자기가 있는 준위의 거래에 시간 
도장을 할당한다. 거래가 시작하면 지연된 시작시간을 수신하며 이 시간은 보다 낮은 준 
위의 모든 능동거래보다는 앞에 있고 자기가 있는 준위에서 시작한 모든 거래보다는 뒤 
에 있다. 

단일준위일정작성프로그람은 보다 높은 준위에 있는 거래에 대해서는 하나도 모른다. 
따라서 거래는 다음의 위치에 놓이게 된다. 

• 엄격히 보다 낮은 준위로부터 제일 먼저 요구한 거래앞에 

• 보다 높은 준위 (자기 가 있는 준위 를 포함하여 )로부터 오는 거 래 호출뒤 에 

이러한 일정작성알고리듬의 요구는 다음의 3가지 부분으로 구성되여 있는 순서도장 
( orderstamp ) 에 부합된다. 

• 체 계낮음박자로부터 유도되 는 시 간도장 

• 거래의 접근클라스 

• 순서번호 

두 순서도장들이 시간도장과 같다면 접근준위가 보다 높은 준위 순서도장이 먼저 발 
생되였다고 본다. 만일 두 순서도장들이 시간도장과 접근준위가 같다면 순서번호가 보다 
낮은 준위 순서도장이 먼저 발생하였다고 본다. 순서번호는 하나이상의 높은 준위 거래 
에 지연이 갈은 시작시간을 할당하는 경우에 주소로 된다. 그러므로 순서도장은 거래에 
대 하여 완전한 순서를 만든다. 

순서도장을 계산하기 위하여 매개 일정작성프로그람은 

• 자기 준위에서 능동인 거래에 대한 최초의 시간도장 ( ETS ) 

• 최초의 보다 낮은 준위의 시 간도장 ( ELTS ) 


를 보관한다. 
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새로운 거래의 시작시간은 다음과 같이 계산한다. 거래의 접근클라스에서 일정작성 
프로그람은 처리중에 있는 자기의 ELTS 를 갱신하고 있는 동안에 가장 낮은 준위 접근 
콜라스로부터 시작하여 (격 자형의)접근콜라스를 우로 올라 가면서 보다 낮은 모든 준위 
의 ETS 와 ELTS 를 조사한다. ELTS 를 갱신하자면 거래는 최소단위로 되여야 한다. 

이 ELTS 가 존재한다면 새로운 거래에 대한 시간도장으로 리용될것이며 그렇지 않 
으면 현재 의 박자값을 리 용할수 있 다. 이 때 일 정작성 프로그람은 접 근콜라스와 순서번호 
를 첨부하여 거래의 시작시간을 나타내는 순서도장을 창조한다. 


자료항목의 새로운 판본에 대한 쓰기시간도장은 이 자료항목을 쓰는 거래의 시작시간 
으로 된다. 어떤 거래의 읽기시간은 그의 시작시간으로 된다. 따라서 순서도장의 측 
면에서 볼 때 거 래의 모든 조작은 동시 에 발생할수 있다. 


조작 

| ( X . h . l ) (1./ .1) 


Lj 一 m rM 

ᅪ _ • w ; [c] 

_ • w ; [rf] 

느 _ . r,id\ 

| i r,[cl 
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― « w h [r] 

r h l ^ 


. . _ 시간 

1 I __ 
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그림 16-2. MVTO - SS 에서 시간도장의 할당 

제16장 3절 2의 실례 에서 거 래 7) 에 는 시 작시 간 (1:/ :1)이 할당되 며 박자 2에서 그의 
첫번째 조작이 발생되였다고 하여도 거래 T h 는 시작시간을 (1 내: 1) 로 잡는다. c.l 과 d.l 
의 쓰기시간도장들이 모두 (0：/ :1)이라고 하자. 지이 이 두개의 자료항목들을 갱신할 
때 c .2 와 丄2인 새로운 판본들은 쓰기시간도장 (1:/ :1)을 수신한다. 따라서 T h 는 낡은 판 
본 c . l 과 J .1 만을 읽을수 있고 낡은 값 c :300, d :800 에 근거 하여 상환능력평가지표 A 
를 주게 된다. 그림 16-2 는 거래에 있는 모든 조작들을 동일한 순서도장으로 넘기는 방 
법을 보여 주고 있다. 점선은 조작의 순서가 작성되여 실행되는 시간을 나타낸다. 화살 
표는 조작과 관계 되 는 시 간도장을 가리킨다. 설명 을 위하여 순서 도장 (1.노1)과 (1. Z .1) 
에 각각 시 간선도를 그었다. 

4. MVT 0 -SS 의 정확성 

병행조종알고리듬들은 언제나 엄밀한 분석을 하여야 하며 보안에 대한 사고가 부족 
한 경 우에 는 더 욱 그러하다. 따라서 [78] 또는 [6이에 서 론증된 MVTO - SS 의 직 렬 화가 
능성 정리 증명 을 요약하여 설 명하려 고 한다. 


280 





정리: MVTO-SS 에 의하여 생성된 처리순서들은 1회복사직렬가능하다. 이 처리순서 
들은 순서도장의 순서 로 직 렬로 실행하는것과 동등하다. 


MVTO-SS 처 리순서의 모든 읽 기조작은 순서 도장에 따라 직 렬로 실행할 때의 자 
료항목과 갈은 판본을 읽는다는것을 보여 주어 야 한다. 

이 것을 여 러판본자료기지 에서 론의 하고 단일판본자료기지우에서 직 렬로 실행하는 
것과 등가적이다는것을 증명하자. 여러판본자료기지의 거래를 직렬로 실행할 때 거래 
는 언제나 읽기시점보다 앞에 있는 자료항목의 가장 최근의 판본을 읽는다. 따라서 단 
일판본과 여 러관본자료기지는 직 렬일정작성 에서 차이 가 없다. 

시간도장에 의하여 정의되는 직렬일정작성에서 거래 가가 거래 r 2 에 의하여 써진 
자료항목 X 의 판본을 읽 는다고 하자. 이 때 MVTO - SS 일 정 작성 에 서 가 r 2 에 의 하여 
써진 판본도 읽는다는것을 보여 주어 야 한다. 반대로 n 가 또 다른 거래 的 에 의하여 
써진 X 의 판본을 읽는다고 가정하자. 

는 r 2 보다 앞에서 작성된 거래로부터만 자료항목을 읽을수 있다. 따라서 다음의 
3가지 경우를 조사하여 야 한다. 

1. 보다는 뒤에서, 보다는 앞에서 저을 선택한다. 그러나 이때 캬는 직 
렬일정작성 에 서 와 마찬가지 로 저에 의하여 씌 여 진 X 의 판본을 읽 을것 이 다. 이 
것은 가 직렬일정작성에서 r 2 로부터 오는 ；<：를 읽는다고 한 가정에 모순된다. 

2. r 3 < r 2 <7\: r 3 은 r 2 보다는 앞에 그리고 r 2 은 보다는 앞에 선택한다.7\가 r 3 으로 

부터 또는 ；<：를 읽는다면 캬의 읽기조작이 실행될 때 r 2 은 ；<：를 쓰지 못하였다. 
r 2 이 쓰기 할수 있는 자료항목이 면 캬가 다 읽 을수 있으므로 는 r 2 보다 접근 
클라스가 높아야 한다. 캬와 r 2 이 동시에 능동이고 가 r 2 보다 후에 선택되였 
기때문에 는 엄밀하게 보다 높은 준위 클라스안에 있을수 없다. 따라서 7\와 
T 2 , ;c 는 동일한 클라스안에 있 어 야 한다. 7\가 저에 의하여 씌 여 진 ;c 의 관본을 
읽을 때 이 판본에 따라 읽기시간도장은 7\의 순서도장으로 갱신된다. r 2 이 이 
후에 x 의 새로운 판본을 쓰러고 시도할 때에는 새로운 판본의 쓰기시간도장은 
r 2 의 순서도장으로 될것 이며 저 에 의 하여 써진 x 에 대 한 판본의 쓰기 시간도장 
과 읽기시간도장사이에 놓여 있게 된다. 이것은 충돌로 되므로 mvto - ss 는 
r 2 을 포기할것이다. 따라서 r 2 은 직렬처리로 될수 없고 캬는 r 2 이 쓴 의 
판본을 읽지 말았어야 할것이였다. 

3. 저<7\，7 2 은 선택 되 지 않았다. 는 교차식처 리순서 로 저에 서 义를 읽 는다.그것 은 

7 V 가 X 를 읽을 때 r 2 의 순서가 정해 지지 않았기때문이다. 7 V 가 직렬순서로 작 
성된 r 2 의 X 판본을 읽을 때에 r 2 은 캬의 순서도장보다 앞에 있는 어떤 순서도장 
을 받아야 한다. mvto-ss 는 r 2 이 엄격히 보다 높은 준위 콜라스로 되여 
있을 때에만 이것을 하게 된다. 

한편 7\가 r 2 에 의하여 써진 자료항목을 읽도록 하기 위해서는 의 접근콜라스는 
r 2 에 비하여 높아야 한다. 

여기에서도 가가 교차식순서로 저에서 ；^를 읽는다는 가정은 모순으로 되였다. 
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제 4 절. 직렬화 불가능한 병행조종 

직 렬 화가능성 은 여 러 준위 보안과 결 합하여 별 로 요구하지 도 않는 병 행 조종알고리 듬을 
억지로 작성하게 하였다. 

• 최 량적 인 MLS 일정작성 에서 는 언제 나 높은 준위 의 거 래 만이 서 로 다른 접 근클라스 
들과의 충돌로 실패하게 된 다. 

• MVTO-SS 순서작성 에서는 서 로 다른 접 근콜라스와 교차하는 충돌이 있다면 높은 
준위거래는 언제나 자료항목의 보다 낡은 판본을 읽어야 한다. 

여 러 준위 보안，일관성 (직결가능성 )，리 용가능성 사이 에 는 물론 서 로 끌어 당기 는 관 
계 가 존재 한다 (그림 16-3). 

지금까지는 보안과 일관성만 중심에 놓고 고찰하였고 높은 준위의 사용자들이 리용 
가능성 은 거 의 론의하지 않았다. 

이제부터 여러준위보안자료기지에서 높은 준위사용자들을 위한 직렬화 불가능한 병 
행조종전략들을 검 토한다. 


리 용가능성 



그림 16-3. 자료기 지특성 

다음과 같이 여러 판본정확성속성을 보다 약화시키면 대역적인 직렬화가능성으로 될 
수 있다. 

• 단일준위직 렬화가능성 : 단일접 근클라스안에서 거래를 교차식 으로 실행하자면 반드시 
직 렬 가능하여 야 한다. 실제 적 으로 단일접 근콜라스안에 서 여 러준위보안을 끌어 들이 
지 않고도 완정성제한을 임의로 적용할수 있다. 

• 단일 준위 읽 기 일 관성 : 거 래 가 완정 성 제 한에 의 하여 관계 되 는 보다 낮은 준위 접 근클 
라스로부터 자료항목을 읽을 때 에는 반드시 일치한 값들의 모임으로부터 자료항목을 
읽어야 한다. 

• 진전: 자료항목의 개별적판본이 일단 거래에 의하여 읽혀 졌다면 바로 그 첫번째 거 
래에 의존하고 있는 어떤 거래도 자료항목의 이전 판본을 읽어서는 안된다. 

[9] 에 서 언급된 다음의 일정작성알고리 듬은 2-상잠금과 갱 신된 MVTO 알고리 듬을 
결합하고 있다. 이 알고리듬은 높은 준위사용자들에게 보다 개선된 봉사를 제공하는 순 
서알고리 듬의 실례 로는 되지만 대 역적 인 직 렬화가능성은 고려하지 않고 있다. 다시한번 
여 러판본자료기 지 를 론의하자. 
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• 매 개 거 래 에 는 시 작시 간도장이 하나뿐이 며 완료된 다면 위 임 시 간도장 (commit 
timestamp ) 은 하나이 다. 

• 매개 자료항목에는 여러개의 판본이 있다. 

• 자료항목의 매개 판본에는 쓰기시간도장이 있다. 

• 매 개 쓰기조작은 자료항목에 대 한 새 로운 판본을 창조한다. 

• 거래가 성공적으로 끝나면 새로운 판본이 자료기지에 영구적으로 들어 간다. 새로운 
판본의 쓰기시간도장은 거래의 완료시간도장으로 된다. 

MVTO-SS 에 대하여 두가지 중요한 차이점이 있다. MVTO-SS 에서 거래는 순서도 
장에 관하여 하나의 실례 로써 발생한다. 그러 나 이 방법 에서 거 래는 자기의 시 작시 간으 
로부터 완료시간까지의 지속시간을 가진다. 

다음으로 MVTO-SS 에서는 쓰기시 간도장이 거래 에 대 하여 앞에 있는 시 작시 간이였 
다. 그러나 이 방법에서 쓰기시간도장은 새로운 판본이 자료기지에 들어 온 시간을 반영 
하고 있다. 

거래를 질문(읽기만 한다.)과 갱신(쓰기도 포함될수 있다.)으로 구분할수 있다. 거 
래의 읽기시점은 자기의 시작시간으로 된다. MVTO 을 리용하여 질문을 한다. 매개 입 
력 의 요구는 쓰기시 간도장이 질 문읽 기 시 점 보다 앞선 자료항목의 가장 최 근의 판본으로 
넘어 간다. 

갱 신들은 아래읽 기를 할수 있지 만 자기의 준위 에서 만 쓰기할수 있다. 

2-상잠금은 갱신준위에서 읽기 및 쓰기조작들을 순서화한다. 엄격히 보다 낮은 준위 
의 자료항목을 읽을 때 질문에도 MVTO 알고리듬을 쓸수 있다. 

이 일정작성알고리듬에서 자료항목의 새로운 판본에 대한 쓰기시간도장은 갱신이 완 
료되기전에는 할당되지 않기때문에 이후의 쓰기에 의하여 읽기는 반드시 유효로 된다. 
따라서 새로운 판본의 쓰기시간도장은 새로운 판본이 자료기지에 입력될 때에 능동인 임 
의의 거래의 읽기시점에 비하여 뒤떨어 지게 될것이다. 

또한 거 래 에서 모든 읽기조작들은 동일한 시 간도장(시 작시 간)으로 넘 어 가며 모든 
쓰기조작들은 동일한 시간도장(완료시간)으로 넘어 간다. 한 콜라스범위에서 2-상잠금은 
조작들이 직렬가능한 순서를 담보한다. 

2-상잠금에서 높은 준위 거래 T h 가 낮은 준위 자료항목 x 를 읽고 낮은 준위 거래 T , 
가 ; c 를 쓸 때 발생하는 충돌만은 해 결 할수 없 다. 

• 가 보다 앞에 서 발생하면 낮은 준위 쓰기 조작이 x 의 새 로운 판본을 창조하 
므로 여러판본자료기지에서 충돌이 없게 된다. 

• 가 rj ; c ] 보다 앞에서 발생하고 八가 가에 의하여 씌여진 ;c 의 판본을 읽는다면 
어떤 등가적 인 직 렬순서 로 T h 는 가보다 뒤 에 그리 고 x 의 새 로운 판본을 쓰는 이 후의 
그 어 떤 낮은 준위 거 래보다는 앞에 나타나게 된 다. 

바로 그렇 기 때 문에 순서 작성 자가 다음과 같은 순서 를 허 용할 때 만 여 러 판본자료기 지 
에서 거 래호출에 대 한 교차식실행 이 직 렬가능할수 있다. 


Wi be- /] r 0 |jc. /] W 2 [x.i] W 2 ly-k] r 0 [y.k] 


여 기 서 凡은 높은 준위 거 래 이 고 과 T 2 은 낮은 준위 거 래 이 다. 

어떤 등가적 인 직 렬순서 에서나 孔은 r 2 보다 앞에 있어 야 하므로 7\로부터 ;^를 읽 을수 
있고 r 2 보다 뒤에 있으므로 r 2 로부터 y 를 읽을수 있다.이것은 명백히 모순으로 된다. 
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r 0 의 모든 읽기조작들은 동일한 읽기시점을 리용한다. 이 읽기시점 이 r 2 의 완료시 
간보다 앞에 있다면 孔은 관본 y . 소를 읽을수 없다.이 읽기시점이。의 완료시간보다 뒤 
에 있다면 孔은 x.i 또는 보에 대 한 이 후의 판본을 읽는다. 

이 절에서 제시한 일정작성알고리듬은 단일준위직렬가능한 실행을 생성한다. 그러나 
갱신된 MVTO 는 1 회복사직렬가능이 아닌 순서들을 허 락한다. 

하나의 낮은 준위 자료항목 X ，두개의 높은 준위 자료항목 y 와 Z 의 거 래를 고찰하자. 

T 3 ： w 3 bc]c 3 low 

r 4 : r A [y] r 4 1>] w 4 [y] c 4 high 

T 5 : r 5 [z] r 5 [x] w 5 [y] c 5 high 

그리고 이때 실행순서는 다음과 같다. 

r5 [z] w3 be] c3r4 [y] rA [x] w4 [y] c4r5 [x] w5 [y] c5. 

그림 16-4 에서는 갱신된 MVTO 에서 이 3 개의 거래에서 조작의 읽기시점과 쓰기시 
간도장을 계산하는 방법을 보여 주고 있다. 


조작 



그림 16-4. 갱 신된 MVTO 에 의한 일 정작성 조작 


단일판본자료기 지 에서 어 떤 등가적 인 직 렬실행 은 다음과 같다. 

• r 5 는 저보다 앞서 야 한다. 그렇지 않으면 r 5 은 저에 의하여 씌 여 진 X 의 판본을 읽게 
되지만 MVTO 순서에서 r 5 은 보의 낡은 판본을 읽는다. 

• 저은 r 4 보다 앞서야 한다. 그렇지 않는 경우에는 r 4 는 r 5 에 의하여 씌여진 : y 의 판본 
을 읽을수 없다. MVTO 순서 에서 r 4 는 r 3 으로부터 ；^를 읽는다. 

• r 4 는 r 5 보다 앞서야 한다. 그렇지 않으면 r 4 는 r 5 에 의하여 씌여진 ; y 의 판본을 읽게 
될것 이 다. mvto 순서 에서 r 4 는 y 의 낡은 판본을 읽 는다. 

바로 그렇기때문에 그림 16-4 의 실행과 갈은 효과를 가지는 단일판본자료기지에서 
r 3 , r 4 ， r 5 의 직렬실행은 없을수 있다. 

단일판본자료기지에서 MVTO 는 그림 16-5 에서 보여 준것처럼 진전성을 지원하지 
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하나의 낮은 준위 자료항목 X ， 두개의 높은 준위 자료항목 y 와 고의 거래가 있다. 


T 6： 

w 6[ x ] c 6 

low 

T 7： 

r 7[ x ] w 7[ y ] c 7 

high 

t 8 ： 

r 8 [ z ] r 8 [ x ] w 8 [ y ] c 8 

high 


이때 실행순서는 다음과 같다. 

r 8 [ z ] w 6 [ x ] c 6 r 7 [ x ] w 7 [ y ] c 7 r 8 [ x ] w 8 [ y ] c 8 . 


그림 16-5 는 이 3 개의 거래에서 조작의 읽기시점과 쓰기시간도장을 계산하는 방법을 
보여 주고 있다. 거 래 T 7 과 T 8 은 표의 값에 의존하는 모의 판본을 쓴다. T 8 은 표의 첫번 
째 판본을 읽 고 T 7 은 z 의 두번째 판본을 읽지만 T 8 보다 앞에서 y 를 쓴다. 그렇기때문에 
진전성 을 위 반할 때 포의 보다 최 근의 판본은 자에 의하여 써 진 판본에 비 하여 낡은 X 
의 값에 의존한다. 


조작 


r 8 [x] 

— • 

w 8 [y] •- 


+ r 8 [z] 


T 






1 | 





• 一 H 卜 

r 7[y] 

w 7 [y] 

! ᅩ 시가 


그림 16-5. 진전성을 위반하는 실행 


결론 

MLS 자료기지에서의 병행조종은 어딘가 좀 억지로 선택하게 하는감을 준다. 

• 직 렬 화가능성 과 같은 엄 격 한 MLS 보안방책 들과 엄 격 한 병 행 조종기 준을 시 행 할수 있 
다. 이 때 최 량적 인 병 행 조종 그리 고 MVTO - SS 를 적 용가능한 일 정 작성 알고리 듬은 
높읔 준위의 주동체들을 명백히 불리한 위치에 놓이게 한다. 

• 보안방책 들을 완화시 킬수 있다. 실례 로 대 역 적 인 일정작성 프로그람을 허 용하면 표준 
일 정작성알고리 듬들중의 하나를 리용할수 있 다. 이 때 일정작성 자는 신용 받는 주동 
체로 될것 이며 잠복통로를 감시하는 기 타 기구들이 리용되게 된다. 

• 병행조종기준척도를 완화시키면 높은 준위의 사용자들에게 보다 개선된 봉사를 제공 
할수 있다. 이것은 가장 현실적인 결정이라고 볼수 있다. 실례로 이 절에서 서술된 
일 정 작성 알고리 듬은 Trusted Oracle 에 의 하여 개 발되 였 다. 
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이 장의 문헌안내 

병 행 조종에 대 한 교과서 로는 [16] 이 표준적 이 라고 볼수 있 다. 

MLS 자료기지 에서 병 행조종에 대 한 최근의 조사에 의하면 [1이은 이 분야에 대 한 
충분한 견해를 준다고 말할수 있다. 

또한 [6이에는 이 분야에 대 한 가치 있는 SIR 보고가 있다. 

換，68,78, 144] 와 같은 연구론문들을 직접 보면 문헌조사를 심화시킬수 있다. 

련습문제 

1. Ti 4 높은 준위 거 래 이 고 t 2 이 낮은 준위 거 래 라고 하자. 일 정작성 프로그람은 최 량적 
인 병행조종을 리용한다. 가 처리를 완료하자면 다음의 경로중에서 어느것을 선 

택하여야 하는가. 


ri [ x ] r 2 [ x ] w 2 [ x ] start vali start val 2 end vali end val 2 

fi Exl r2 [ x ] w 2 [ x ] start vali start val 2 end val 2 end vali 

ri [ x ] T2 [x] w 2 [x] start val 2 start vali end val 2 end vali 

rilx3r2 [ x ] w 2 [ x ] start val 2 start val 2 end vali end vali 


2. MVTOSS 일정작성알고리듬에서 ELTS 의 계산이 최소단위조작으로 되는 리유를 설명하 
시오. 일관성위반이 일어 날수 있다는것을 보여 주는 기타 실례를 구성하시오. 

3. MVTO-SS 를 리용하여 그림 16-4 와 그림 16_5의 실례 에서 보여 준 조작들의 순서 
를 작성하시오. 작성된 조작들이 1회복사직렬가능하게 되는 리유를 설명하시오. 

4. Ti , T 2 , T 3 이 각각 준위 U , C , S ( U < C < S ) 의 거래라고 하자. 이 3개의 거래로부 
터 의 조작들은 다음의 순서 로 일정작성 프로그람에 도착한다고 하자. 


ri [ z ] wi [ x ] r 3 [ x ] r 2 [ y ] r 3 [ y ] w 3 [ x ] Cir 2 [ z ] c 3 c 2 


자료항목 x , y , z 의 준위를 어떻게 알수 있는가? 

MVTO - SS 를 일정작성알고리 듬으로 리용하는 경우에 이 조작들이 실행되 였다고 보 
아 지는 순서는 어떻게 되겠는가? 

5. 여 러준위보안자료기지 에서 단일준위직 렬화가능성 과 단일준위읽 기일관성 을 실현하는 
병행조종알고리듬을 정의하시오. 정의한 알고리듬은 다음의 정황에서 어떻게 처리 
하겠는가? 3개의 거 래 Ti , T 2 , T 3 으로부터 오는 조작들이 다음의 순서 로 일정작성 
프로그람에 도착한다. 


r 3 [ x ] ri [ x ] wi [ x ] Cir 2 [ x ] w 2 [ y ] w 3 [ y ] c 2 ci 


Ti , T 2 , T 3 이 각각 U , C , S ( U < C < S ) 준위에서 분류되여 있는 경우를 고찰하시오. 
또한 는 준위 U 에 있고 T 2 , T 3 은 준위 C 에 있는 경우도 고찰하시오. 

6. 구축블로크로서 제16장 4절 에 서 고찰한 일 정 작성 프로그람을 리 용하며 작성하여 야 할 
거 래순서 가 미 리 알려 져 있는 경 우 1회 복사직 렬 화가능성 을 실현하는 일정작성알고 
리 듬을 설 계하시 오 [9]. 
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제 17 장. 객제지향보안 


이 마지막장에서는 콤퓨터보안에서의 새로운 연구방향의 전망과 그의 실현에서 제기 
될수 있는 문제점들을 검토한다. 객체지향체계는 통제된 호출 즉 방법호출을 위한 일반 
적 인 기 구로 나온것 이 며 한편 정 보의 은폐 는 층아래 (the layer below ) 에 로의 접 근을 
금지하기 위하여 나온것다. 따라서 객체지향체계에서 보안은 연구하여야 할 필수적인 과 
정으로 된다. 이 과정에는 객체모형을 구축한 보안에 관계되는 특징들의 일반적평가로부 
터 시 작하여 객 체 지 향보안을 실현하는 여 러 가지 방법 들을 비 교하기 위 한 위 임 접 근조종까 
지 포함되여 있다. 

• 객체지향의 기본모형을 간단히 소개한다. 

• 객체지향이 보안체계의 설계를 어느 범위까지 고유하게 지원하고 있는가를 론의한다. 

• 객체모형에서 여 러준위보안을 시행하는 두가지 다른 방법들을 제시한다. 

• 콤퓨터보안의 새로운 방향을 지적한다. 


제1절. 리론적기초 

접 근조종을 관리 하자면 보안방책 에 개 별적 인 사용자들이 개 인자료항목들에 접 근할수 
있는 방법을 반영하여서는 안된다고 이미 이 야기한바 있다. 

얼마간은 조종의 중간층들이 있어야 한다. 

콜라크-월슨보안모형에서 처음으로 이 방법 이 구체적으로 론의되였으며 보임새에 기 
초한 자료기지보안은 가장 새로운 실례였다. 

본질적으로 다음과 같은 보안방책을 실현하려고 한다. 

• 특정의 조작만이 자료항목에 접근할수 있다. 그리고 

• 사용자들에 게 는 특정 의 조작들만 실 행할수 있도록 허 용된 다. 

객체지향은 우리가 요구하고 있는 모든 특징들을 다 가지고 있는것 같이 보인다. 
자료항목들은 객체들안에 존재 한다. 

객체대상안에 있는 자료항목은 이 대상을 정의한 방법 ( me 比 iod ) 들을 통해서만 접근 
할수 있다. 이것이 과연 보안을 실현하는 적합한 토대로 되는가? 보다 정확히 표현한다 
면 보안공격을 막는데 이러한 개념들로 충분히 설명할수 있겠는가? 만일 충분히 설명할 
수 있다면 이러한 설명서에 따라 실제적으로 실현된것이 있는가? 
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제 2 절. 객체모형 


객체지향체계설계에 대한 본질적인 개념들만 언급하기로 한다. 

먼저 학술용어에 대한 두가지 주의를 이야기하자. 이 장에서 소개되고 있는 객체 
( object ) 들과 벨-라파둘라에서 본 접근조종모형의 객체 ( object ) 들을 혼돈하지 말아야 
한다. 접근조종의 테두리에서 《새로운》객체들은 주동체와 객체가 다될수 있다. 다음 
으로 보안의 실천가라고 볼수 있는 독자들은 객체지향공동체가 보편적으로 합의된 학술 
용어를 따라 세우지 못했다는 사실로부터 어느 정도 위안감을 가질수 있다. 따라서 아래 
에서 쓰이는 표현은 객체지향설계에 관한 모든 원천들에서 일치하지 않을수도 있다. 그 
러나 객체지향방법들에서 중요한 개념들에는 다음과 갈은것들이 있다. 

• 객체 : 객체 들은 속성 (구체 례 변수 (instance variable )) 들과 방법 들로 이루어 져 있 
다.객체지향모형화는 독자들이 자기의 자료를 구성하는 방법과 조작하는 방법을 동 
시에 생각할것을 요구한다. 이것은 구도의 보안에 착수하는데서 그릇된 출발점이라 
고 볼수 없다. 자료기지구도의 설계가 틀리면 보안을 필요없이 복잡하게 만드는 하 
나의 원인으로 된다는것을 앞장들에서 언급하였다. 

• 값: 속성들이 취 함수 있는 값들은 다시 객체들로 된다. 

• 형 : 모든 객체는 자기가 소속되는 형 (콜라스)을 가진다. 객체는 자기 클라스의 구 
체례 ( instance ) 로 된다고 말할수 있다. 형은 다시 객체로 된다. 하나의 클라스에서 
모든 객체들은 그우에서 동일 한 조작들을 실행할수 있다는 의 미 에서 기 능적 으로 등 
가이 다. 

• 클라스계 층과 계 승 (class hierachy and inheritance ) : 형 들은 계 층을 형 성 한다. 객 
체는 자기의 콜라스와 뿌리클라스객체까지의 매개 상위클라스 ( superclass ) 로부터 
속성 과 방법 들을 계 승한다. 부분콜라스는 자기 의 초콜라스로부터 계 승된것 들외 에 도 
속성과 방법들을 가질수 있다. 

• 원시 객체 (primitive object ) : 원시객체들은 수값，문자, 식 별자로 될수 있으며 식 별 
자들은 부분콜라스를 가지지 못할수도 있다. 

• 방법 (me 仕 iod ): 어떤 객체에 대 한 방법은 그 객체에 실행될수 있는 조작들만이 된 
다. 방법은 자기의 객체에서만 값들을 변화시킬수 있다.객체는 자기의 방법들에 의 
해서만 관측되고 변경될수 있으며 외부접근은 할수 없다. 방법들은 통보문(방법요 
구)을 보내 여 다른 객 체 (그리 고 그의 방법 )들에 접 근할수 있다. 매 개 콜라스는 자 
기의 형에 대한 새로운 실례를 창조하는 create 방법을 가지고 있다. 

• 통보문: 통보문들은 객체들이 통신할수 있는 유일한 수단이다. 통보문에는 방법호 
출의 인수(파라메터 )들이 포함되 여 있 다. 

• 정보은폐: 매개 객체는 자기의 국부주소공간을 가지고 있다. 

콤퓨터보안에서 기본은 서로 다른 실체에 속하는 기억구역을 차페시키는것이다. 객 
체지 향체 계 들은 개 별적 인 객체들의 작은 덩 어 리 ( granularity ) 로 차폐를 실현한다. 이 러 
한 각도에서 보면 정보은폐는 강한 보안의 기초로 된다. 그림 14-3 의 실례에서 관계 
Diary 를 객 체 지 향 으 로 실 현 하면 속성 이 Name , Dest , Flight , Status 인 클 라스객 체 
Journey 와 Journey - read , Journey - update , Journey-create 의 방법 으로 구성되 게 
된마. 
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제 3 절. 객체모형에서 보안 

객체지향체계들은 보안을 지원하는 일련의 쓸모 있는 특징들을 제공한다. 

객체에서 자료를 교갑화함으로써 자료의 접근을 조종할수 있는 기회를 가진다. 자료 
항목(속성)들은 특정된 방법으로만 접근될수 있다. 정보은페는 외부적인 간섭으로부터 
객체의 완정성을 보호한다. 우리의 를퓨터모형에서는 객체지향보안이 여러 층에서 실현 
되였다. 

• Trusted Mach 는 보안핵 심 을 가지 는 객 체 지 향조작체 계 이 다. 

• Java 와 그의 보안구성 방식 은 객 체 지 향원 리 에 기 초하여 구성 되 였 다 (제 11장 6절 ). 

• CORBA 는 분산객 체 체 계 를 위 한 보안구성 방식 이 다 (제 10장 4절 ). 

객체지향체 계들은 계승의 측면에서 안전한가? 교갑화와 정보은페 는 객체지향모형 에 
서 의 기 본개 념 들이 다. 누구나 다 자기 의 객 체 들과 객 체안에 서 의 방법 을 정 의 할수 있 으며 
자기의 보안방책을 획득하기 위하여 일부 방책객체를 첨부해 줄수도 있다. 

일감이 자기의 목적에 맞게 실행되였다면 정보은페는 안정성에 주의를 돌려 자기체 
계의 완정성을 보호할것이다. 정보은폐야말로 두 세계에서 가장 좋은것을 다 받아 들였 
다고 볼수 있다. 객체에 의해 보안방책을 기술하는데 특징이 풍부한 환경이 조성되지만 
정보은페에 의해 이러한 모든 보안방책들을 시행하는데 도움을 주는 포괄적인 보안기구 
가 실현된다고 볼수 있다. 

방어자들과 공격자들이 객체지향체계가 제공하는 추상층에서만 체계를 고찰하는 조 
건에서는 이러한 견해는 정확하다고 말할수 있다. 우에서 이야기한바와 같이 정보은페는 
이 층이 놓여 있는 실제적인 체계에 의존한다. 층아래를 호출하는 공격자는 일반적으로 
보안을 약화시킬수 있다. 

Java 보안의 력사(제11장 6절과 [95]) 를 돌이켜 보면 이러한 주장을 안받침하고 
있는 실례들이 풍부하다. 일반적으로 대부분의 객체지 향체계들은 안전하게 동작하도록 
설계되지 않았다는것을 잊지 말아야 한다. 

정보은폐를 실현하여도 고의적인 공격을 막아 낼수 있는 보안기구로는 되지 못한다. 
설 계 자들은 집 요한 공격 자가 조종을 우회하여 따라 올수 있는 모든 회 로적 인 경 로들을 
차단하는데는 관심을 돌리지 않았다. 

쏘프트웨 어 작성 자들이 코드의 효률을 높이 기 위하여 리 용하는 보다 낮은 층에 로의 
접근을 주는 엿보기구멍들이 알려 져 있을수도 있으며 이것을 [155] 로부터 여기에 관계 
되는 대목을 다음과 같이 인용할수 있다. 

Ada , Modula -3 과 같이 형이 강한 언어라고 하여도 체계에 없는 형을 만드는 경 
우 프로그람작성자들은 흔히 형체계의 엿보기구멍을 리용할 필요가 있다는것을 알게 
된 다. 

실천에서는 매 경우에 객체지향체계가 표준방안에 비하여 특징이 풍부하지만 담보가 
적은 해결방도를 주고 있는가를 검사하여 야 한다. 

A 모든 봉사가 다 보호를 위하여 설계된 보안특징들을 발휘하고 있는것 
' 은 아니다. 
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제 4 절. 객체지향체계에서의 MAC 

위임접근조종은 보안표식들을 리용하여 어떻게 주동체가 객체들에 접근하는가를 조 
절하고 있다. 

객체모형에서 《주동체》와《객체》는 어떤 기능을 수행하는가? 

간단히 말하여 MAC - 주동체는 방법의 요구를 전송하는 객체이고 MAC - 객체는 방법 
이 실행되는 객체 이 다. 사용자가 체계 에 가입되면 체 계 가입프로그람은 사용자를 나타내 
는 객체를 창조하고 사용자의 보안통과허가를 수신한다. 

MAC 방책들을 객체모형으로 다시 표현하면 하나의 객체 로부터 오는 정보는 동일한 
또는 보다 높은 보안준위에 있는 객체에로만 흐를수 있다. 

정 보흐름의 운반수단은 통보문과 방법호출의 돌림값들이다. 정 보의 흐름은 객체 가 
자기 상태를 변화시키거나 새로운 객체를 창조할 때 진행된다. 

1. 객체의 표식화 

객 체모형에서 표식 화될수 있 는 객 체 의 양상은 풍부하다 . 

객체자체는 물론，그의 속성，속성의 값，방법，통보문들이 양상으로 될수 있다. 
객체의 창조자의 준위나 이 객체의 매개 속성을 찾아 나가면 표식화될수 있는 모든 
양상을 알아 낼수 있을것 이 다. 이 준위들은 객체 또는 속성의 준위와 반드시 일치하는것 
은 아니 다. 여 러 준위객체 에 는 서 로 다른 보안준위 의 양상들이 있 다. 단일준위 객 체 에는 
객체와 그의 모든 양상에 적용되는 단일보안표식이 있다. 

표식화는 클라스계층과 일치되여야 하며 또한 객체의 여러가지 양상들사이의 관계와 
도 일 치하여 야 한다. 객 체 들이 다음과 갈은 방책 들을 제 기 한다면 자기의 콜라스로부터 
오는 속성과 방법들을 계승한다. 

• 속성의 보안준위는 모든 부분클라스에서 이 속성의 보안준위보다 우에 있다. 

만일 클라스객체를 조사하는 방법으로 속성의 존재를 알아 내려고 한다면 속성의 존 
재 를 구체 례 객 체 에 은폐 시 키 려 고 시 도하는것 은 무의 미 하게 된 다. 이 것 은 실 제 적 으로 
잠복통로를 창조하게 될것 이 다. 

• 방법의 보안준위는 모든 상위클라스에서 이 방법의 보안준위보다 우에 있다. 

방법 이 클라스객 체 에 서 《 비 밀》로 표식 화되 였 어 도 일 반사용자 (unclassified 
use 代)들이 어떤 구체례객체에서 그것을 실행시켜 그 기능을 알수 있다고 하면 무 
엇때 문에 앞에서 그것을 비밀 이 라고 표시하였겠는가? 이와는 달리 방법 이 모든 특 
정 의 구체 례 가 아니 라 일 반적 인 클라스객체 에서 실행할수 있게 해주면 아주 합리 
적일것이다. 

이 두가지 방책들은 보안을 서로 다른 측면에서 고찰하면 클라스계층안에 있는 보안 
표식들도 서 로 다른 각도에서 분석 할수 있다는것을 보여 준다. 더우기 다중계승을 지원 
하는 체계라면 문제가 제기된다. 이 경우에 하나의 객체는 하나이상의 클라스의 구체례 
로 될수 있 다. 

여러준위객체에서 속성들은 여러가지 보안표식들을 가질수 있다. 

다중관계 자갱 신충돌 ( Multi-party update conflict ) 은 이 러 한 정 황에 서 제 기 되 는 문 
제로 널리 알려 져 있다. 서로 다른 준위에 있는 두개의 주동체가 동일한 속성을 갱신한 
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다. 《낮은》주동체는《높은》값이 라는 존재를 반드시 알아야 하는가? 다중구체례제시 
에서는 잠복통로를 피하는 방법으로 이 문제를 해결하고 있다. 

이 문제는 단일준위객체에서는 제기되지 않지만 서로 다른 보안준위에서 동일한 이 
틈으로 객체들을 우연적으로 창조할수 있다는 문제는 여전히 남아 있다. 

일치한 표식방책을 결정하자면 다음의 질문에 대답을 주어야 한다. 

• 속성의 보안준위들은 객체의 보안준위보다 반드시 높아야 하는가? 

• 객체의 보안준위들은 속성의 보안준위보다 반드시 높아야 하는가? 

속성，방법，제한조건과 갈은 객체의 양상을 표식화하는 리유는 좁은 의미에서는 객 
체 그자체의 준위에서 《현실적》인 보안요구(관계형자료기지와 비슷하다)를 표현하는데 
있고 넓은 의미에서는 객체준위에서 잠복통로와 높은 준위정보의 간섭을 차단하는데 있 
다. 이러한 개별적인 잠복통로를 피하는 다른 방법이 널리 알려 져 있다. 

만일 낮은 준위의 주동체가 높은 보안준위를 가지는 속성을 창조하였다면 그것은 자 
기의 존재를 알고 있으므로 낮은 준위주동체로부터 이 속성을 은페시 킬 필요가 없다. 

만일 객체지향모형화에 의해 응용자료들이 론리정연한 실체들로 구조화되여 간다는 
주장에 동의한다면 여러준위객체들의 값을 질문하는것은 당연하다고 말할수 있다. 《론 
리정연한》실체는 반드시 단일한 보안표식을 가져야 한다. 

2. ■보문 흐름조종 

여 기서도 객체지향모형 에 따른다고 할 때 MAC 는 객체 들사이 의 통보문흐름을 조종 
함으로써 실현되게 된다. 

기 입방책들은 객 체 표식들과 통보문을 넘 겨 주겠는가를 결정할 때 방법 의 형 (읽 기 또 
는 쓰기)에 의거한다. 방법의 호출은 통보문처 럼 직 접적 으로 실현되며 자기의 기 억기를 
가지고 있지 않다. 방법의 호출은 객체를 리용하여 자료를 기억시켜야 한다. 

강제 접 근조종은 객 체 들사이 의 정 보의 흐름을 규제한다. 

객체 이로부터 0 2 로 넘겨 준 통보문이 실제적으로 0 2 의 상태 즉 0 2 의 어떤 속성의 값 
을 변화시키 는 경 우에 만 이로부터 02에 로 정 보가 호른다. 

이 때 정 보의 흐름은 다음과 같을수 있다. 

• 정 방향 : 통보문의 파라메 터 를 통하여 방법호출을 내 보내 는 객 체 로부터 

• 역 방향 : 방법호출에 응답하여 제 공된 값을 통하여 

• 이행: 정방향과 역방향흐름으로 된 임의의 사슬을 통하여 

• 간접: 제3객체에서 내부상태의 변화를 통하여 

간접적 인 정보흐름을 막기 위 하여서는 통보문호출이 호출된 객체만을 감시 하는가 또 
는 그것이 바로 그 객체의 상태도 변화시킬수 있는가를 검사하여야 한다. 

자조디 아 ( Jajodia ) 와 코간 ( Kogan ) 에 의 하여 제 안된 통보문려 과알고리 듬 [69] 에 서 는 
매개 객체에 함수 L 에 의하여 정의된 하나의 보안표식을 가지고 있다. 

일반적으로 보안표식들은 격자를 형성한다. L ( 0 l )«» L (的) 로써 두 준위가 비교할수 
없다는것을 나타내자. 

고찰하는 방법들은 읽 기 ( read ), 쓰기 ( write ), 창조 ( create ) 이 다. 방법호출에서 매 
개 방법 은 제 한이 없는 상태 ( U ) 또는 제 한이 있는 상태 ( R ) 중의 하나의 상태 를 가진 
다. 간접적 인 정보흐름을 조종하기 위 하여 상태정보를 사용한다(사용자의 가입등록과 같 
은 체 계 를 초기 적재 하는데 요구되 는 방법 들은 제 한이 없는 상태 로 된다고 가정 한다) . 
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객체 이가 방법 하를 실행하여 방법 안이 실행되여야 한다고 요구한다면 다가 통보문 
요를 객 체 02에 보내 는 정 황을 통보문려과알고리 듬으로 표현하자. 

방법 안은 값 『를 01 에 로 되돌린다. 이 알고리듬은 정보가 보다 높은 준위의 객체 
에 로만 흐르게 한다. 이 알고리듬은 통보문 요를 통과시키거 나 차단시 킬수 있으며 허 용되 
지 않는 모든 방법의 호출에 대하여 령을 되돌린다. 

통보문려과기 는 우리 가 볼수 있는 참조감시기 에 불과하므로 방법 이 객 체 안에 서 실 행 
되 도록 허 락해 주겠는가도 결정하여 야 한다. 

객체가 어떤 통보문을 그자체에 보내게 하여 이 통보문이 통보문려과기를 통과하는 
경우에만 처리를 계속해 주게 함으로써 방법의 실행을 결정할수 있다. 이 경우 개별적인 
객체들에 있는 방법들은 TCB 의 부분으로 되지 않는다. 

TCB 를 보다 작게 한다면 담보가 보다 높은 준위 보안기구를 실현할수 있는 가능성 
이 열려 지게 된다. 


통보문려과알고리듬 
Case /방법 호출/ 


If 

L(od 

= L(o 2 ) 

g 를 

If 

L(oi) 

<> L(02) 

g 를 

If 

L(oi) 

< Uo 2 ) 

g 를 

If 

L{oi) 

> U 02 ) 

g 를 

Ca.sc 公 1 = c > 2 * 

/방법의 실행/ 



If fi = write 


통과시 4 다 ; s(t 2 ) : = s(h )； 
f 단한다; 

통과시킨다; r ： = nil ； s(t 2 )： = s(h )； 
통과시킨다; s(t 2 )： = R; 


If s(h) = U 요를 통과시 킨다; 

If s(h) = R 요를 차단한다; 

If h = read 요를 통과시킨다; 

If h = create ( 03 ^( 03 )) 

If s(h) = U and L ( o 3 ) fe f ( oi ) 

then 요를 통과시 킨 다: 
else 요를 차단한다; 


그림 17-3 은 통보문려과알고리듬이 간접적 인 아래쓰기를 하지 못하게 하는가를 보여 
준다. 보안준위가 L(o 3 ) = L(o 2 ) < ZX 01 ) 인 3개의 객체가 있다. 높은 준위 객체 이는 통 
보문 와를 낮은 준위 객체 야에 보내 며 이때 와는 o 2 의 상태를 변화시 키지 않지 만 o 2 로부 
터 일 부 파라메터 들을 방법 의 호출 t 2 에 제 공함으로써 낮은 준위 객 체 여에 로의 쓰기 를 
요구한다면 통보문 요2을 에 보내 게 된다. 


이 쓰기는 방법 字 write 로 요구한다면 o 3 으로부터 그자체 에로 통보문 g 3 을 기 
동한다. 

이 알고리듬의 실행 단계는 다음과 같다. 

단계 1. 통보문 射: Ol ，갼2 이 고 L(oi) > L(o 2 ) 이 므로 gl 는 통과될 것 이 며 
s (t 2 ) : = R 

단계 2. 통보문 供: 的# 的이 고 L(o 2 ) ^ L(o 3 ) 이 므로 g2 은 통과될것 이 며 

S (, 2 ) : = 及 

단계 3. 통보문 供: 供을 o 3 으로부터 그자체 에 보내 여 t 3 = write 

s(t 3 ) ■- = R 이므로 요 3 는 차단되며 쓰기 는 실행 되지 않을것 이 다. 
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이 알고리듬에서 이 구체례에 보내야 할 임의의 특수한 돌림통보문을 하나도 표현하 
지 않고 있다. 



그림 17-3. 자조디아-코간모형에서의 중개접근 

3. MLS 조작체계의 객체지향보안 

밀 렌-룬트 ( Millen - Lunt ) 모형 [10] 은 전통적 인 MLS 조작체 계 우에 서 객 체 지 향 여 러 준 
위보안을 실현한다. 따라서 객체모형에 대한 개념은 벨-라파둘라모형에 대한 개념으로 
넘 어 간다. 방법호출은 처 리 즉 벨-라파둘라의 용어로 표현하면 자기의 기억공간과 자기 
의 보안준위 를 가지 는 주동체 로 된 다. 방법 접 근에 의하여 접 근되 는 객 체 들은 벨-라파둘 
라의 의미 에서 객체들이다. 

• 객체 가 방법의 요구를 받으면 통보문에서 방법 호출을 처 리 하기 위한 목적 에서 만 가 
상주동체 (virtual subject ) 가 창조된 다. 

• 가상주동체는 방법호출을 홈객체로 수신하는 객체를 가진다. 

• 객체 이의 방법 와가 객체 에의 방법 안에 대 한 요구를 보내면 두 방법 다와 h 
과 관련되 여 있는 가상주동체 하와 ^1 존재 하게 된다. 

표기는 앞절에서와 같다. 단일준위객체들과 격자형의 보안준위들이 있다. 함수 L 은 
매개 객체와 매개 가상주동체들에 대한 보안준위를 나타낸다. 

가상주동체들과 그의 실제적 인 객체 (home object ) 그리 고 호출자들을 위 하여 위 
임 적 인 보안방책 을 형 식 화할수 있 다. 통보문을 전송하는것 을 통제할 방도가 없고 모든 
호출이 실제적인 객체에서 결정되였기때문에 방법호출에 의한 돌림값을 처리하는 방책 
이 필요하게 된다. 이와 같은 방책은 객체가 어떤 환경에서는 령인 값을 되돌릴것을 
요구한다. 

MAC 방책들은 다음의 6가지 보안특성으로 이루어 져 있다. 


규칙 1： 객체의 보안준위는 그의 클라스객체의 보안준위보다 높아야 한다. 
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규칙 6： 최근에 창조된 객체의 보안준위는 창조를 요구한 가상주동체의 준위보다 
높다. 


그림 17-4 에서 01 은 방법의 호출을 o 2 에 전송하는 객체 라고 하자. 

호출하고 있는 주동체 하의 보안준위는 실제적인 객체 이의 준위와 같다고 가정 
하자. 실제 적 인 객 체 02 을 가지 는 새 로운 가상주동체 52 은 현재 의 방법호출을 처 리한다. 
3가지 경 우를 다 고려 하면 규칙 2는 max ( L ( si ), L ( 02 )) 의 준위，즉 보다 높은 보안준위 
에서 가상주동체 s 2 을 분류한다. 

• L ( 0l ) < L ( o 2 ) : L( Sl ) < L (的) 로 되 기 때 문에 규칙 5는 요구한 접 근의 형 에 관계 없 이 
02 로부터 이의 되 돌림값이 령 으로 된 다고 규정 하고 있 다. 

• L{ox) ^ L ( o 2 ) 이 고 읽 기 방법 의 호출 : L( Sl ) = L (5 2 ) 이 므로 규칙 5는 적 당한 값을 
되돌리게 한다. 

• L ( oi ) > L(o 2 ) 이 고 쓰기 방법의 호출: 규칙 4는 L ( s 2 ) > L ( o 2 ) 이기때 문에 쓰기 방법을 
차단한다. 



그림 17-4. 밀렌-룬트모형에서 중개접근 



그림 17-5. 정보를 낮은 준위 중개자를 통하여 넘겨 주는 방법 


밀 렌-룬트모형 으로 해 석 한다면 방법호출 다를 객 체 02 에 보내 여 방법 의 호출 을 03 
으로 절 환함으로써 객 체 02 을 변화시키 지 않고 o 3 은 어 떤 값을 이에 되 돌리 는 방법 으로 
객 체 01 가 객 체 03 으로부터 오는 값을 읽 을수 있다. 그것 은 방법 (가상주동체 ) 들은 자기 
의 기억공간을 가지고 있기때문이다. 앞의 모형에서는 02은 맹목적인 중개자의 기능을 
수행 할수 없 다. 

따라서 호출조종이 서로 다르게 결정된 두 모형을 론의하여야 하는 정황이 존재한다. 
L ( oi ) = L ( o 3 ) > L ( o 2 ) 이면 두 모형을 그림 17-5 처 럼 결정 할수 있다. 
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• 통보문려과알고리듬은 통보문나르개 다를 통과시킬것이다. 통보문나르개 h 의 되돌림 
값은 자동적으로 령 (그리고 s ( t 2 ) = R ) 으로 설정될것이다. 그러므로 첫번째 통보문 
에로의 되돌림값은 여으로부터 오는 정보를 포함하지 않는다. 

• 밀렌-룬트모형에서 3개의 모든 가상주동체들은 갈은 준위에 있다. 따라서 재은 어떤 
값을 S2 에로 되돌리며 이것이 하에 넘겨 질수 있다. 가상주동체 S2 에는 자기의 실제 
적인 객체의 쓰기를 할수 없지만 그렇게 할 필요도 없다. 


이 장의 문헌안내 

객체지향보안자료기지의 현 실태 에 대 해서는 [25] 에서 한개의 장으로 개괄되 였다. 
보다 깊은 내용을 보자면 연구론문들을 읽으면 될것이다. 

처음에 [18] 과 [15 幻들을 읽으면 될것이다. 


련습문제 

1. 객체지향기본모형 이 높은 준위 믿음성 을 가지 면서 접근조종기능이 풍부한 특징 들을 
제공할수 있겠는가? 이러한 요구가 정당하다고 납득시킬수 있는 조건들을 조사하시 
오. 조사해 보면 보안특징의 관리는 물론 공학적기구들이 포함되며 실현가능한 믿음 
성준위에 영향을 미친다는것을 알수 있다. 

2 .형시행체계에서의 결함들이 정보은페에 기초하는 보안기구를 어떻게 약화시킬수 있는 
가를 보여 주는 실례연구를 진행하시오. (Java 의 개발에서 얻은 경험은 이러한 하나 
의 자료로 된다. [95] ) 

3. 속성들과 값들이 자기의 보안표식을 가지는 여 러준위객체를 위한 일치한 표식방책을 
론의 하시 오. 

• 속성에 대한 값의 보안준위가 속성의 보안준위보다 우에 있어야 하는가? 

• 속성의 보안준위는 속성에 대한 값의 보안준위보다 우에 있어 야 하는가? 

4. 여 러준위객체 를 단일준위객체 로 표현할수 있다는것을 설명 하시오. 

5. 이가 속성 과 값들이 자기 의 보안표식 을 가지 는 여 러준위객 체 라고 하자. 객 체 이는 
값 o 2 을 취하는 속성 a 를 가진다. 

01,02,« 의 보안준위가 어떤 관계에 있을 때 새로운 객체를 창조하지 않고 이에 있는 
속성 a 의 값을 변화시킬수 있겠는가? 

6. 객체 이가 창조요구를 0 2 에 보냄 으로써 형 이 o 2 인 객체 o 3 을 창조하려고 하는 경우를 
고찰하자. 아， 0 2 , 03 의 보안준위에 관계되는 통보문흐름모형에서 이 요구가 어떻게 
처 리되겠는가를 설명 하시오. 

7. 밀렌-룬트 방책에서 계3자의 객체 03 에 쓰기를 요구함으로써 객체 이는 자기 준위 
에 있는 객 체 이에 로의 쓰기 를 금지 할수 있는가? L(od = L ( os ), Liod < L ( os ), 
L ( 0l ) > L (的) 일 때 론의 하시 오. 
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표제 기 사 (Cover stories) 264 
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하쉬 함수 (Hash functions) 198 
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허 가 (Permissions) 38,49, 88, 104 
형 안전성 (Type safety) 186 
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안전성 (Safety) 12 
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암호 (Ciphers) 204 
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control) 42 
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인 증 (Authentication) 22, 157 
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ISO 9000 —품질 규격 156 
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PC 기 동순서 (PC boot sequence) 134 
POSIX 83 

QNX/Neutrino microkernel 40 
RAM 67 

RBAC —커 베 로스 
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SESAME 176 
SHA-1 199 
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SSI 181 
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SSL/TLS 225 
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SYN 밀 물공격 (SYN flooding attack) 132 
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특권사용자 (superuser) 85 
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통과암호 (passwords) 82 
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41 
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